赞
踩
官方文档:https://fastapi.tiangolo.com/zh/tutorial/security/first-steps/#fastapi-oauth2passwordbearer
FastAPI管理后台框架:https://gitee.com/ktianc/kinit
FastAPI 中的 OAuth2PasswordBearer 授权方法主要是为 FastAPI 应用提供密码流授权方案。
OAuth2 定义了多种授权方式,用于实现不同场景下的身份验证和授权需求。以下是 OAuth2 中常见的认证方式:
不同的授权方式适用于不同的应用场景和安全需求。选择合适的授权方式取决于你的应用程序类型、用户交互方式以及安全要求。
OAuth2PasswordBearer 的定义方法:
class OAuth2PasswordBearer(OAuth2): def __init__( self, tokenUrl: str, scheme_name: Optional[str] = None, scopes: Optional[Dict[str, str]] = None, description: Optional[str] = None, auto_error: bool = True, ): if not scopes: scopes = {} flows = OAuthFlowsModel( password=cast(Any, {"tokenUrl": tokenUrl, "scopes": scopes}) ) super().__init__( flows=flows, scheme_name=scheme_name, description=description, auto_error=auto_error, ) async def __call__(self, request: Request) -> Optional[str]: authorization = request.headers.get("Authorization") scheme, param = get_authorization_scheme_param(authorization) if not authorization or scheme.lower() != "bearer": if self.auto_error: raise HTTPException( status_code=HTTP_401_UNAUTHORIZED, detail="Not authenticated", headers={"WWW-Authenticate": "Bearer"}, ) else: return None return param
这段代码是 FastAPI 中的 OAuth2PasswordBearer
类的定义代码。该类是用于在 FastAPI 中实现 OAuth2 密码授权方式的身份验证工具。下面详细解释每个参数与方法的含义:
以下每个参数的设置都与 Swagger UI API 文档息息相关。
True
。当验证失败时,如果设置为 True
,FastAPI 将自动返回一个 401 未授权的响应。如果设置为 False
,你需要自己处理身份验证失败的情况。在 __init__
方法中,首先检查是否提供了 scopes
,如果没有,则默认设置为空字典。然后创建一个包含密码授权流程信息的 OAuthFlowsModel
对象。这个对象指定了密码授权流程的信息,其中包括了 tokenUrl
和 scopes
。
接下来,调用父类 OAuth2
的构造函数,将前面创建的 flows
、scheme_name
、description
和 auto_error
参数传递进去,以创建一个 OAuth2PasswordBearer
实例。
__call__
方法是用于执行身份验证逻辑的方法。它接受一个 FastAPI 的 Request
对象作为参数,并从请求头中获取授权信息。如果没有提供授权信息或授权方式不是 “bearer”,根据 auto_error
参数的设置,可能会引发一个 401 未授权的异常或者返回 None
。
必填参数,参数类型为字符串,指定后可以在 Swagger UI API 文档中使用该参数的 URL 接口进行认证用户身份。
from fastapi import Depends, FastAPI from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm import uvicorn app = FastAPI() # 指定认证 URL 为 /token oauth2_scheme = OAuth2PasswordBearer(tokenUrl="/token") @app.post("/token") async def login(data: OAuth2PasswordRequestForm = Depends()): """ 密码认证身份方法 :param data: 用户通过 form 表单提供的用户名和密码 :return: """ print(data.username) print(data.password) return {"access_token": data.username, "token_type": "bearer"} @app.get("/items") async def read_items(token: str = Depends(oauth2_scheme)): """ 需要通过认证才能访问的接口方法,否则无法访问 :param token: :return: """ return {"token": token} if __name__ == '__main__': # 启动项目 uvicorn.run(app='main:app', host='127.0.0.1', port=9000)
在以上代码中,指定了认证 URL 为 /token
:
# 指定认证 URL 为 /token
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="/token")
启动项目后,打开 Swagger UI API 文档:http://127.0.0.1:9000/docs
以上小锁为开着的状态时说明接口还没有通过认证授权
还没认证授权通过时,请求需要认证授权的接口会报错 401:
这时候就需要认证授权了:
点击 Authorize
按钮后可以看到弹出一个需要认证授权的窗口,并且里面提示认证授权的 URL 地址与我们配置的 tokenUrl
参数一致。
填写好用户名密码(这里可以随便填写,因为我们在上面代码中并没有设定真正的用户名密码)后,就可以点击 Authorize
按钮进行认证了。
以下为通过认证:
通过认证授权后,小锁为关闭的状态:
程序打印:
请求需要认证授权的接口,返回200 请求成功:
当我们给 /token
认证授权接口加上用户名密码验证时,如果在 Swagger UI API 文档中提供的用户名或密码错误是错误的,一定要在返回响应时将 状态码改为 错误的状态码,否则如果状态码为 200,即使没有返回 token,同样会表示认证成功。
可选参数,参数类型为 布尔值,默认为 True
。当验证失败时,如果设置为 True
,FastAPI 将自动返回一个 401 未授权的响应。如果设置为 False
,你需要自己处理身份验证失败的情况。
在以上示例中,我们并没有设置 auto_error
参数,所以参数默认为 True
我们在没有通过认证授权的情况下去请求需要认证授权的接口,会直接返回我们401的报错响应。
但是如果我们将 auto_error
设置为 False
后,在没有通过认证授权的情况下再去访问需要认证授权的接口,会返回我们 200 访问成功的响应。
# 指定认证 URL 为 /token
# 指定 auto_error 为 False,不需要自动报错 401
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="/token", auto_error=False)
截图中可以看到小锁开着的状态,仍然可以请求成功,所以要谨慎使用 auto_error
参数。
可选参数,参数类型为字符串类型,为身份验证方案提供描述性信息。
添加后会 Swagger UI API 文档中认证时显示:
# 指定认证 URL 为 /token
# 指定 auto_error 为 True,错误时自动报错 401
# description:添加认证授权描述信息
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="/token", auto_error=True, description="这是测试认证")
查看 Swagger UI API 文档:
可选参数,参数类型为字符串。指定身份验证方案的名称。如果你在应用中使用多种身份验证方式,可以用来区分不同的身份验证方式。
如果我们在项目中需要使用多认证方案时,仅仅只是添加了多个 OAuth2PasswordBearer
认证授权实例并没有指定 scheme_name
参数时,这样第一个 OAuth2PasswordBearer
实例是不会生效的,只是 第二个 OAuth2PasswordBearer
会生效。
from fastapi import Depends, FastAPI from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm from fastapi.responses import ORJSONResponse import uvicorn app = FastAPI() # 指定认证 URL 为 /token/password # 指定 auto_error 为 True,错误时自动报错 401 # description:添加认证授权描述信息 password_oauth2_scheme = OAuth2PasswordBearer( tokenUrl="/token/password", auto_error=True, description="密码认证方式" ) # 指定认证 URL 为 /token/sms/code # 指定 auto_error 为 True,错误时自动报错 401 # description:添加认证授权描述信息 sms_code_oauth2_scheme = OAuth2PasswordBearer( tokenUrl="/token/sms/code", auto_error=True, description="短信验证码认证方式" ) @app.post("/token/password") async def password_login(data: OAuth2PasswordRequestForm = Depends()): """ 密码认证身份方法 :param data: 用户通过 form 表单提供的用户名和密码 :return: """ if data.username != 'kinit' or data.password != 'kinit': return ORJSONResponse(status_code=401, content='用户名或密码错误') return {"access_token": f"{data.username}-password", "token_type": "bearer"} @app.post("/token/sms/code") async def sms_code_login(data: OAuth2PasswordRequestForm = Depends()): """ 短信验证码认证身份方法 :param data: 用户通过 form 表单提供的手机号和短信验证码 :return: """ if data.username != '15020230821' or data.password != '8888': return ORJSONResponse(status_code=401, content='手机号或短信验证码错误') return {"access_token": f"{data.username}-sms", "token_type": "bearer"} @app.get("/items") async def read_items(token: str = Depends(password_oauth2_scheme)): """ 需要通过密码认证才能访问的接口方法,否则无法访问 :param token: :return: """ if token.split("-")[1] != 'password': return ORJSONResponse(status_code=401, content='认证信息错误') return {"token": token, 'message': '访问成功'} @app.get("/users") async def read_users(token: str = Depends(sms_code_oauth2_scheme)): """ 需要通过短信验证码认证才能访问的接口方法,否则无法访问 :param token: :return: """ if token.split("-")[1] != 'sms': return ORJSONResponse(status_code=401, content='认证信息错误') return {"token": token, 'message': '访问成功'} if __name__ == '__main__': # 启动项目 uvicorn.run(app='main:app', host='127.0.0.1', port=9000)
在以上代码中我们指定了两个 OAuth2PasswordBearer
认证授权实例分别为:
我们这时候打开查看 Swagger UI API 文档中,只会看到 sms_code_oauth2_scheme
认证授权实例:
因为第二个会把第一个给覆盖掉,并且在分别指定的需要授权访问接口也是一样的。
这时候我们就需要在两个 OAuth2PasswordBearer
认证授权实例分别加上 scheme_name
属性即可:
from fastapi import Depends, FastAPI from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm from fastapi.responses import ORJSONResponse import uvicorn app = FastAPI() # 指定认证 URL 为 /token/password # 指定 auto_error 为 True,错误时自动报错 401 # description:添加认证授权描述信息 password_oauth2_scheme = OAuth2PasswordBearer( tokenUrl="/token/password", scheme_name="密码认证授权方式", auto_error=True, description="密码认证方式" ) # 指定认证 URL 为 /token/sms/code # 指定 auto_error 为 True,错误时自动报错 401 # description:添加认证授权描述信息 sms_code_oauth2_scheme = OAuth2PasswordBearer( tokenUrl="/token/sms/code", scheme_name="短信验证码认证授权方式", auto_error=True, description="短信验证码认证方式" ) @app.post("/token/password") async def password_login(data: OAuth2PasswordRequestForm = Depends()): """ 密码认证身份方法 :param data: 用户通过 form 表单提供的用户名和密码 :return: """ if data.username != 'kinit' or data.password != 'kinit': return ORJSONResponse(status_code=401, content='用户名或密码错误') return {"access_token": f"{data.username}-password", "token_type": "bearer"} @app.post("/token/sms/code") async def sms_code_login(data: OAuth2PasswordRequestForm = Depends()): """ 短信验证码认证身份方法 :param data: 用户通过 form 表单提供的手机号和短信验证码 :return: """ if data.username != '15020230821' or data.password != '8888': return ORJSONResponse(status_code=401, content='手机号或短信验证码错误') return {"access_token": f"{data.username}-sms", "token_type": "bearer"} @app.get("/items") async def read_items(token: str = Depends(password_oauth2_scheme)): """ 需要通过密码认证才能访问的接口方法,否则无法访问 :param token: :return: """ if token.split("-")[1] != 'password': return ORJSONResponse(status_code=401, content='认证信息错误') return {"token": token, 'message': '访问成功'} @app.get("/users") async def read_users(token: str = Depends(sms_code_oauth2_scheme)): """ 需要通过短信验证码认证才能访问的接口方法,否则无法访问 :param token: :return: """ if token.split("-")[1] != 'sms': return ORJSONResponse(status_code=401, content='认证信息错误') return {"token": token, 'message': '访问成功'} if __name__ == '__main__': # 启动项目 uvicorn.run(app='main:app', host='127.0.0.1', port=9000)
再查看 Swagger UI API 文档,就会看到两个认证授权方式:
单个认证:
可选参数,参数类型为字典,字典的建和值都为字符串。
指定后可以在 Swagger UI API 文档中进行认证用户身份时,选择指定的 scope。
import json from typing import Annotated from fastapi import Depends, FastAPI, HTTPException, Security from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm, SecurityScopes from fastapi.responses import ORJSONResponse import uvicorn from starlette import status app = FastAPI() # 指定认证 URL 为 /token # scopes:提供两种可选的作用域,用来访问对应作用域的接口 oauth2_scheme = OAuth2PasswordBearer( tokenUrl="/token", scopes={"items": "Read items.", "users": "Read users."} ) @app.post("/token") async def password_login(data: OAuth2PasswordRequestForm = Depends()): """ 密码认证身份方法 :param data: 用户通过 form 表单提供的用户名和密码和作用域 :return: """ if data.username != 'kinit' or data.password != 'kinit': return ORJSONResponse(status_code=401, content='用户名或密码错误') access_token = json.dumps({"sub": data.username, "scopes": data.scopes}) return {"access_token": access_token, "token_type": "bearer"} def validation_scope(security_scopes: SecurityScopes, token: Annotated[str, Depends(oauth2_scheme)]) -> str: """ 解析 token 获取到 token 中的 scopes 判断接口中需要的作用域是否在 token 存在 如果存在则返回用户名 如果不存在则报错 SecurityScopes的属性scopes,是一个包含所有它需要的scopes以及所有依赖项(把它作为子依赖项)的列表。 SecurityScopes的属性scope_str,是包含所有scopes的一个字符串(以空格分隔)。 :param security_scopes: 请求接口必须存在的 scopes :param token: token :return: 用户名 """ # 解析 token payload = json.loads(token) username: str = payload.get("sub", '') if username is None: raise HTTPException(status_code=status.HTTP_401_UNAUTHORIZED, detail="认证信息错误") # token 中的 scopes token_scopes = payload.get("scopes", []) for scope in security_scopes.scopes: if scope not in token_scopes: raise HTTPException(status_code=status.HTTP_401_UNAUTHORIZED, detail="无权限访问的 scope") return username @app.get("/items") async def read_items(username: Annotated[str, Security(validation_scope, scopes=["items"])]): """ 需要存在 items scope 的 token 才能访问该接口方法,否则无法访问 Security实际上是Depends的子类,只不过多了一个参数,可以接收scopes的列表信息。 通过使用Security而不是Depends,FastAPI将会知道它会声明并内部使用scopes信息,并且在交互式文档中显示这些信息。 :param username: 用户名 :return: """ print(username) return {'message': '访问成功', 'username': username} @app.get("/users") async def read_users(username: Annotated[str, Security(validation_scope, scopes=["users"])]): """ 需要存在 users scope 的 token 才能访问该接口方法,否则无法访问 :param username: :return: """ print(username) return {'message': '访问成功', 'username': username} if __name__ == '__main__': # 启动项目 uvicorn.run(app='main:app', host='127.0.0.1', port=9000)
打开并查看 Swagger UI API 文档,就会在认证时看到两个我们在 OAuth2PasswordBearer
中配置的 scopes
:
选中对应的 scopes 登录后,就会将选中的 scopes 通过 form 表单传入 OAuth2PasswordRequestForm
,就可以在登录视图中获取到了。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。