Веб-застосунки без аутентифікації — це як громадський Wi‑Fi в аеропорту: всі можуть підключитися, і, можливо, не з найкращими намірами. Без механізму аутентифікації ми не можемо обмежити доступ до даних і функціональності застосунку. OAuth2 — це загальновідомий стандарт аутентифікації і авторизації, який ми використовуватимемо для захисту нашого API.
В цій лекції ми розберемо, як налаштувати OAuth2 у FastAPI. Ми будемо використовувати OAuth2 з парольним грантом (OAuth2 Password Flow) і інтегруємо його з токенізацією на основі JWT (JSON Web Token). Робимо це крок за кроком, ніби відлажуємо баг у п’ятничний вечір.
Основи налаштування OAuth2 у FastAPI
FastAPI "з коробки" дає круті інструменти для реалізації OAuth2 через клас OAuth2PasswordBearer. Цей підхід дозволяє нам використовувати токени для перевірки прав доступу користувача до API. Нижче — основний алгоритм:
- Користувач надсилає свої облікові дані (логін і пароль) на ендпоінт
/token. - Сервер перевіряє дані користувача і, якщо все ок, повертає токен (JWT).
- Кожен наступний запит клієнта до захищених ресурсів супроводжується цим токеном.
- Сервер перевіряє токен перед виконанням запиту.
Крок 1: встановлення потрібних залежностей
Спочатку переконаймося, що всі потрібні бібліотеки встановлені. Якщо щось забули — ось команди для встановлення:
pip install fastapi uvicorn python-jose passlib[bcrypt]
python-jose: для роботи з JWT (генерація та верифікація токенів).passlib[bcrypt]: для безпечного хешування пароля користувача.
Крок 2: створення основи застосунку
Почнемо з мінімального FastAPI-застосунку:
from fastapi import FastAPI
app = FastAPI()
@app.get("/")
async def read_root():
return {"message": "Welcome to our protected API!"}
Крок 3: налаштування моделі користувача та сховища
Реалізуємо базову модель користувача та фейкове сховище (для простоти). У реальних проєктах це була б база даних:
from pydantic import BaseModel
from passlib.context import CryptContext
# Модель користувача
class User(BaseModel):
username: str
full_name: str | None
email: str | None
password: str
disabled: bool | None = None
# Фейкове сховище користувачів
fake_users_db = {
"johndoe": {
"username": "johndoe",
"full_name": "John Doe",
"email": "johndoe@example.com",
"hashed_password": "$2b$12$KIXQZzHBGbi6um1A8L8ZlOe1Zk3hdwsZL5hg/R9yU3QFhR6dYg5wy", # "secret"
"disabled": False,
}
}
# Налаштування bcrypt для хешування паролів
pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")
def verify_password(plain_password, hashed_password):
return pwd_context.verify(plain_password, hashed_password)
def get_user(db, username: str):
if username in db:
user_dict = db[username]
return User(**user_dict)
def authenticate_user(fake_db, username: str, password: str):
user = get_user(fake_db, username)
if not user or not verify_password(password, user.hashed_password):
return False
return user
Крок 4: налаштування залежності OAuth2PasswordBearer
Тепер можемо налаштувати OAuth2PasswordBearer, який вимагатиме токен для кожного захищеного маршруту:
from fastapi.security import OAuth2PasswordBearer
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")
tokenUrl="token"вказує на ендпоінт, де користувач може отримати токен.
Крок 5: генерація JWT-токенів
JWT складається з трьох частин: header, payload і signature. Ми будемо використовувати бібліотеку python-jose для генерації та перевірки токенів:
from jose import JWTError, jwt
from datetime import datetime, timedelta
# Секретний ключ для підписування токенів
SECRET_KEY = "supersecretkey"
ALGORITHM = "HS256"
ACCESS_TOKEN_EXPIRE_MINUTES = 30
def create_access_token(data: dict, expires_delta: timedelta | None = None):
to_encode = data.copy()
expire = datetime.utcnow() + (expires_delta or timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES))
to_encode.update({"exp": expire})
return jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)
Крок 6: створення ендпоінта для отримання токена
Тепер налаштуємо ендпоінт /token, який видає JWT-токен після успішної аутентифікації:
from fastapi import Depends, HTTPException, status
from fastapi.security import OAuth2PasswordRequestForm
@app.post("/token")
async def login(form_data: OAuth2PasswordRequestForm = Depends()):
user = authenticate_user(fake_users_db, form_data.username, form_data.password)
if not user:
raise HTTPException(
status_code=status.HTTP_401_UNAUTHORIZED,
detail="Incorrect username or password",
headers={"WWW-Authenticate": "Bearer"},
)
access_token = create_access_token(data={"sub": user.username})
return {"access_token": access_token, "token_type": "bearer"}
Крок 7: захист ендпоінтів
Наостанок, давайте захистимо ендпоінт перевіркою токена:
from fastapi import Security
async def get_current_user(token: str = Depends(oauth2_scheme)):
try:
payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
username: str = payload.get("sub")
if username is None:
raise HTTPException(status_code=status.HTTP_401_UNAUTHORIZED)
user = get_user(fake_users_db, username)
if user is None:
raise HTTPException(status_code=status.HTTP_401_UNAUTHORIZED)
return user
except JWTError:
raise HTTPException(status_code=status.HTTP_401_UNAUTHORIZED)
@app.get("/users/me")
async def read_users_me(current_user: User = Security(get_current_user)):
return current_user
Тепер ендпоінт /users/me доступний лише тим, у кого є валідний токен.
Практичне застосування
Після налаштування такої системи аутентифікації ви зможете легко захистити будь-які ендпоінти, додавши залежність get_current_user. Це стане в пригоді для створення захищених API-методів, наприклад, для керування особистими даними користувача, адміністрування або роботи з приватними сутностями.
У реальному житті варто також налаштувати зберігання користувачів у базі даних (наприклад, PostgreSQL) і додати додаткові перевірки, такі як блокування облікових записів або логування аутентифікаційних подій.
ПЕРЕЙДІТЬ В ПОВНУ ВЕРСІЮ