备注 | 修改日期 | 修改人 | |
内容更新 | 2023-12-14 15:48:24[当前版本] | 系统管理员1 | |
内容更新 | 2023-12-14 15:48:06 | 系统管理员1 | |
内容更新 | 2023-12-14 15:47:45 | 系统管理员1 | |
内容更新 | 2023-12-14 15:45:12 | 系统管理员1 | |
本文链接: https://blog.csdn.net/weixin_51407397/article/details/131031170
源码地址:
https://gitee.com/yinyuu/fast-api_study_yinyu
FastAPI 提供了多种工具,可帮助你以标准的方式轻松、快速地处理安全性,而无需研究和学习所有的安全规范,这相比花费大量的精力和代码处理安全性和身份认证很有好了(比如 java )。
首先我们来看一些小概念,如果已了解可直接看第二种~
OAuth2 是一个规范,它定义了几种处理身份认证和授权的方法。 它是一个相当广泛的规范,涵盖了一些复杂的使用场景,包括使用「第三方」进行身份认证的方法。
Facebook,Google,Twitter,GitHub 登录系统均是采用该机制。
OAuth 1
OAuth 1 与 OAuth2 完全不同,并且更为复杂,它直接包含了有关如何加密通信的规范。
如今它已经 out 了,也就没多少人用了。
OAuth2 没有指定如何加密通信,它期望使用 HTTPS 进行通信。
OpenAPI(以前称为 Swagger)是用于构建 API 的开放规范。
FastAPI 基于 OpenAPI,因此自动交互式文档界面,代码生成等成为可能。
OpenAPI 有一种定义多个安全「方案」的方法,你可以利用所有这些基于标准的工具,包括这些交互式文档系统。
OpenAPI 定义了以下安全方案:
FastAPI 在 fastapi.security 模块中为每个安全方案提供了几种工具,这些工具简化了这些安全机制的使用方法。
假设前后端分离开发,前端要使用后端的 username 与 password 验证用户身份。
预先安装:pip install python-multipart
因为 OAuth2 使用表单数据发送 username 与 password。
本例使用 OAuth2 的 Password 流以及 Bearer 令牌(Token),为此要使用 OAuth2PasswordBearer 类。
创建 OAuth2PasswordBearer 的类实例时,要传递 tokenUrl 参数。该参数包含客户端(用户浏览器中运行的前端) 的 URL,用于发送 username 与 password,并获取令牌。
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")
tokenUrl="token" 指向的是暂未创建的相对 URL token,这个相对 URL 相当于 ./token。比如 API 位于 https://example.com/,则指向 https://example.com/token。
oauth2_scheme 变量是 OAuth2PasswordBearer 的实例,也是可调用项。
比如以下边方式调用:
oauth2_scheme(some, parameters)
因此,Depends 可以调用 oauth2_scheme 变量。
接下来,使用 Depends 把 oauth2_scheme 传入依赖项。
from fastapi import Depends, FastAPI from fastapi.security import OAuth2PasswordBearer app = FastAPI() oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token") @app.get("/items/") async def read_items(token: str = Depends(oauth2_scheme)): return {"token": token}
该依赖项使用字符串(str)接收路径操作函数的参数 token 。
使用 main 函数运行:
if __name__ == '__main__': import uvicorn uvicorn.run(app, host="127.0.0.1", port=8000)
文档
此时访问交互式文档 http://127.0.0.1:8000/docs#
页面右上角出现了一个「Authorize」按钮。 路径操作的右上角也出现了一个可以点击的小锁图标,代表这个接口需要登录认证。
那么点击 Authorize 按钮,弹出授权表单,输入 username 与 password 及其它可选字段:
目前,由于是 demo,在表单中输入内容不会有任何反应,后文会逐步进行完善!
这个自动工具非常实用,可在文档中与所有 API 交互。
前端团队(可能就是开发者本人)可以使用本工具。
第三方应用与系统也可以调用本工具。 开发者也可以用它来调试、检查、测试应用。
文档中请求接口
在文档中请求该接口时,FastAPI 校验请求中的 Authorization 请求头,核对请求头的值是不是由 Bearer + 令牌组成, 并返回令牌字符串(str)。
如果没有找到 Authorization 请求头,或请求头的值不是 Bearer + 令牌。FastAPI 直接返回 401 错误状态码(UNAUTHORIZED):
现在,再回过头来看一下。 Password 流是 OAuth2 定义的,用于处理安全与身份验证的方式(流)。 OAuth2 的设计目标是为了让后端或 API 独立于服务器验证用户身份。
但在本例中,FastAPI 应用会处理 API 与身份验证。