Веб-приложения без аутентификации — это как общественный Wi-Fi в аэропорту: все могут подключиться, и, возможно, не с самыми благими намерениями. Без механизма аутентификации мы не можем ограничить доступ к данным и функциональности приложения. OAuth2 — это широко известный стандарт аутентификации и авторизации, который мы будем использовать для настройки защиты нашего API.
В этой лекции мы разберём, как настроить OAuth2 в FastAPI. Мы будем использовать OAuth2 с парольным грантом (OAuth2 Password Flow) и интегрируем его с токенизацией на основе JWT (JSON Web Token). Давайте сделаем это шаг за шагом, словно отлаживаем баг в пятничный вечер.
Основы настройки OAuth2 в FastAPI
FastAPI из коробки предоставляет отличные инструменты для реализации OAuth2 через класс OAuth2PasswordBearer. Этот метод позволяет нам использовать токены для проверки прав доступа пользователя к API. Ниже приведён основной алгоритм:
- Пользователь отправляет свои учётные данные (логин и пароль) в эндпоинт
/token. - Сервер проверяет данные пользователя и, если они корректны, возвращает токен (JWT).
- Каждое последующее обращение клиента к защищённым ресурсам сопровождается этим токеном.
- Сервер проверяет токен перед выполнением запроса.
Шаг 1: установка необходимых зависимостей
Для начала, давайте удостоверимся, что все нужные библиотеки установлены. Если вы вдруг забыли, вот команды для установки:
pip install fastapi uvicorn python-jose passlib[bcrypt]
python-jose: для работы с JWT (генерация и верификация токенов).passlib[bcrypt]: для безопасного хеширования пароля пользователя.
Шаг 2: создание фундамента приложения
Мы начнем с минимального FastAPI-приложения:
from fastapi import FastAPI
app = FastAPI()
@app.get("/")
async def read_root():
return {"message": "Welcome to our protected API!"}
Шаг 3: настройка модели пользователя и хранилища
Реализуем базовую модель пользователя и фейковое хранилище (для простоты). В реальных проектах это была бы база данных:
from pydantic import BaseModel
from passlib.context import CryptContext
# Модель пользователя
class User(BaseModel):
username: str
full_name: str | None
email: str | None
password: str
disabled: bool | None = None
# Фейковое хранилище пользователей
fake_users_db = {
"johndoe": {
"username": "johndoe",
"full_name": "John Doe",
"email": "johndoe@example.com",
"hashed_password": "$2b$12$KIXQZzHBGbi6um1A8L8ZlOe1Zk3hdwsZL5hg/R9yU3QFhR6dYg5wy", # "secret"
"disabled": False,
}
}
# Настройка bcrypt для хеширования паролей
pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")
def verify_password(plain_password, hashed_password):
return pwd_context.verify(plain_password, hashed_password)
def get_user(db, username: str):
if username in db:
user_dict = db[username]
return User(**user_dict)
def authenticate_user(fake_db, username: str, password: str):
user = get_user(fake_db, username)
if not user or not verify_password(password, user.hashed_password):
return False
return user
Шаг 4: настройка зависимости OAuth2PasswordBearer
Теперь мы можем настроить OAuth2PasswordBearer, который будет требовать токен у каждого защищённого маршрута:
from fastapi.security import OAuth2PasswordBearer
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")
tokenUrl="token"указывает на эндпоинт, где пользователь может получить токен.
Шаг 5: генерация JWT-токенов
JWT состоит из трёх частей: header, payload и signature. Мы будем использовать библиотеку python-jose для генерации и проверки токенов:
from jose import JWTError, jwt
from datetime import datetime, timedelta
# Секретный ключ для подписывания токенов
SECRET_KEY = "supersecretkey"
ALGORITHM = "HS256"
ACCESS_TOKEN_EXPIRE_MINUTES = 30
def create_access_token(data: dict, expires_delta: timedelta | None = None):
to_encode = data.copy()
expire = datetime.utcnow() + (expires_delta or timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES))
to_encode.update({"exp": expire})
return jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)
Шаг 6: создание эндпоинта для получения токена
Теперь настроим эндпоинт /token, который выдаёт JWT-токен после успешной аутентификации:
from fastapi import Depends, HTTPException, status
from fastapi.security import OAuth2PasswordRequestForm
@app.post("/token")
async def login(form_data: OAuth2PasswordRequestForm = Depends()):
user = authenticate_user(fake_users_db, form_data.username, form_data.password)
if not user:
raise HTTPException(
status_code=status.HTTP_401_UNAUTHORIZED,
detail="Incorrect username or password",
headers={"WWW-Authenticate": "Bearer"},
)
access_token = create_access_token(data={"sub": user.username})
return {"access_token": access_token, "token_type": "bearer"}
Шаг 7: защита эндпоинтов
Напоследок, давайте защитим эндпоинт с проверкой токена:
from fastapi import Security
async def get_current_user(token: str = Depends(oauth2_scheme)):
try:
payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
username: str = payload.get("sub")
if username is None:
raise HTTPException(status_code=status.HTTP_401_UNAUTHORIZED)
user = get_user(fake_users_db, username)
if user is None:
raise HTTPException(status_code=status.HTTP_401_UNAUTHORIZED)
return user
except JWTError:
raise HTTPException(status_code=status.HTTP_401_UNAUTHORIZED)
@app.get("/users/me")
async def read_users_me(current_user: User = Security(get_current_user)):
return current_user
Теперь эндпоинт /users/me доступен только тем, у кого есть валидный токен.
Практическое применение
После настройки такой системы аутентификации вы можете легко защитить любые эндпоинты, добавив зависимость get_current_user. Это пригодится для создания защищённых API-методов, например, для управления личными данными пользователя, администрирования или работы с приватными сущностями.
В реальной жизни стоит также настроить хранение пользователей в базе данных (например, PostgreSQL) и добавить дополнительные проверки, такие как блокировка учётных записей или логирование аутентификационных событий.
ПЕРЕЙДИТЕ В ПОЛНУЮ ВЕРСИЮ