كيف تطبق المصادقة (OAuth2/JWT)؟

Question

Accepted Answer

توفر FastAPI أدوات مدمجة (`OAuth2PasswordBearer`، مرافق الأمان) لتطبيق المصادقة، عادةً باستخدام **تدفق كلمة المرور OAuth2 مع رموز JWT**. يجمع النمط بين إصدار الرموز (تسجيل الدخول) مع تبعية تتحقق من الرمز على الطرق المحمية.

## إنشء الهاش لكلمات المرور وإصدار JWT عند تسجيل الدخول

```python
from passlib.context import CryptContext
from jose import jwt
from datetime import datetime, timedelta

pwd = CryptContext(schemes=["bcrypt"])    # secure password hashing

@app.post("/login")
def login(form: OAuth2PasswordRequestForm = Depends()):
    user = get_user(form.username)
    if not user or not pwd.verify(form.password, user.hashed_password):  # constant-time check
        raise HTTPException(401, "Invalid credentials")
    # issue a signed JWT containing the user identity + expiry
    token = jwt.encode(
        {"sub": user.username, "exp": datetime.utcnow() + timedelta(minutes=30)},
        SECRET_KEY, algorithm="HS256",
    )
    return {"access_token": token, "token_type": "bearer"}
```

يتم **إنشاء هاش** لكلمات المرور (bcrypt) — لا يتم تخزينها نصاً عادياً. عند تسجيل دخول صحيح، يتم إصدار **JWT**: رمز موقع يحمل هوية المستخدم ومدة الصلاحية.

## التحقق من الرمز على الطرق المحمية (تبعية)

```python
from fastapi.security import OAuth2PasswordBearer

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="login")   # extracts the Bearer token

def get_current_user(token: str = Depends(oauth2_scheme)):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=["HS256"])   # verify signature + expiry
        username = payload.get("sub")
    except JWTError:
        raise HTTPException(401, "Invalid token")
    user = get_user(username)
    if not user:
        raise HTTPException(401, "User not found")
    return user

@app.get("/me")
def read_me(user: User = Depends(get_current_user)):     # PROTECTED — requires a valid token
    return user
```

تبعية `get_current_user` تستخرج و**تتحقق** من JWT (التوقيع + الصلاحية)، وتحمل المستخدم، وتُدرج في نقاط النهاية المحمية — أي مسار يعتمد عليها يتطلب المصادقة.

## التفويض (الأدوار/النطاقات)

```python
def require_admin(user: User = Depends(get_current_user)):
    if not user.is_admin:
        raise HTTPException(403, "Forbidden")     # authorization check
    return user
# OAuth2 SCOPES provide fine-grained permission control
```

## لماذا يهم

المصادقة ضرورية و**حرجة من ناحية الأمان** — تقريباً كل API حقيقي يحتاج إلى حماية الطرق، والخطأ في المصادقة ينشئ ثغرات أمنية خطيرة.

t فهم نهج FastAPI مهم: فهو يوفر اللبنات الأساسية (`OAuth2PasswordBearer`، مرافق الأمان) لنمط **تدفق كلمة المرور OAuth2 مع JWT**، والذي يستفيد بأناقة من نقاط قوة FastAPI — نقطة نهاية تسجيل الدخول تصدر رمزاً موقعاً، و**تبعية `get_current_user`** تتحقق منه، وتحمي بنظافة أي طريق يعتمد عليها (نمط المصادقة الأصلي في FastAPI).

هناك عدة جوانب حرجة للحصول عليها بشكل صحيح: **إنشاء هاش لكلمات المرور** (bcrypt، ليس نصاً عادياً، مع التحقق بوقت ثابت)، **توقيع والتحقق من JWTs** بشكل صحيح (التوقيع + التحقق من الصلاحية)، التمييز بين **المصادقة** (من أنت) و**التفويض** (ماذا يمكنك أن تفعل، عبر فحوصات الأدوار/النطاقات)، والحفاظ على سلامة المفتاح السري.

معرفة كيفية تطبيق هذا النمط بأمان — إصدار الرموز، تبعية التحقق، والتفويض — هي معرفة أساسية على مستوى أعلى لبناء تطبيقات FastAPI آمنة، لأن المصادقة شائعة جداً وتكون مصدراً متكرراً للأخطاء الخطيرة عند تطبيقها بشكل خاطئ.