আপনি কীভাবে অথেন্টিকেশন (OAuth2/JWT) প্রয়োগ করেন?

Question

Accepted Answer

FastAPI বিল্ট-ইন টুলস (`OAuth2PasswordBearer`, নিরাপত্তা উপকরণ) প্রদান করে অথেন্টিকেশন প্রয়োগের জন্য, সাধারণত **OAuth2 পাসওয়ার্ড ফ্লো এবং JWT টোকেন** ব্যবহার করে। প্যাটার্নটি টোকেন ইস্যু করা (লগইন) এর সাথে একটি ডিপেন্ডেন্সি সমন্বয় করে যা সুরক্ষিত রুটে টোকেন যাচাই করে।

## লগইনে পাসওয়ার্ড হ্যাশ করা এবং JWT ইস্যু করা

```python
from passlib.context import CryptContext
from jose import jwt
from datetime import datetime, timedelta

pwd = CryptContext(schemes=["bcrypt"])    # secure password hashing

@app.post("/login")
def login(form: OAuth2PasswordRequestForm = Depends()):
    user = get_user(form.username)
    if not user or not pwd.verify(form.password, user.hashed_password):  # constant-time check
        raise HTTPException(401, "Invalid credentials")
    # issue a signed JWT containing the user identity + expiry
    token = jwt.encode(
        {"sub": user.username, "exp": datetime.utcnow() + timedelta(minutes=30)},
        SECRET_KEY, algorithm="HS256",
    )
    return {"access_token": token, "token_type": "bearer"}
```

পাসওয়ার্ডগুলি **হ্যাশ করা হয়** (bcrypt) — কখনও সাধারণ টেক্সটে সংরক্ষণ করা হয় না। বৈধ লগইনে, একটি **JWT** ইস্যু করা হয়: একটি স্বাক্ষরিত টোকেন যা ব্যবহারকারীর পরিচয় এবং মেয়াদ উত্তীর্ণতা বহন করে।

## সুরক্ষিত রুটে টোকেন যাচাই করা (একটি ডিপেন্ডেন্সি)

```python
from fastapi.security import OAuth2PasswordBearer

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="login")   # extracts the Bearer token

def get_current_user(token: str = Depends(oauth2_scheme)):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=["HS256"])   # verify signature + expiry
        username = payload.get("sub")
    except JWTError:
        raise HTTPException(401, "Invalid token")
    user = get_user(username)
    if not user:
        raise HTTPException(401, "User not found")
    return user

@app.get("/me")
def read_me(user: User = Depends(get_current_user)):     # PROTECTED — requires a valid token
    return user
```

একটি `get_current_user` ডিপেন্ডেন্সি JWT **যাচাই করে** (স্বাক্ষর + মেয়াদ উত্তীর্ণতা), ব্যবহারকারী লোড করে, এবং সুরক্ষিত এন্ডপয়েন্টে ইনজেক্ট করা হয় — এটির উপর নির্ভরশীল যেকোনো রুট অথেন্টিকেশনের প্রয়োজন।

## অনুমোদন (ভূমিকা/স্কোপ)

```python
def require_admin(user: User = Depends(get_current_user)):
    if not user.is_admin:
        raise HTTPException(403, "Forbidden")     # authorization check
    return user
# OAuth2 SCOPES provide fine-grained permission control
```

## এটি কেন গুরুত্বপূর্ণ

অথেন্টিকেশন অপরিহার্য এবং **নিরাপত্তা-সমালোচনামূলক** — প্রায় প্রতিটি বাস্তব API রুট সুরক্ষা প্রয়োজন, এবং অথেন্টিকেশন ভুল করা গুরুতর দুর্বলতা তৈরি করে।

FastAPI এর পদ্ধতি বোঝা গুরুত্বপূর্ণ: এটি বিল্ডিং ব্লক (`OAuth2PasswordBearer`, নিরাপত্তা উপকরণ) প্রদান করে মানক **OAuth2-পাসওয়ার্ড-ফ্লো-এবং-JWT** প্যাটার্নের জন্য, যা FastAPI এর শক্তিকে কমনীয়ভাবে লাভ করে — একটি লগইন এন্ডপয়েন্ট একটি স্বাক্ষরিত টোকেন ইস্যু করে, এবং একটি **`get_current_user` ডিপেন্ডেন্সি** এটি যাচাই করে, যেকোনো রুটকে পরিষ্কারভাবে সুরক্ষিত করে যা এটির উপর নির্ভর করে (মূলনীতিগত FastAPI অথেন্টিকেশন প্যাটার্ন)।

অনেক দিক সঠিকভাবে পেতে সমালোচনামূলক: **পাসওয়ার্ড হ্যাশ করা** (bcrypt, কখনও সাধারণ টেক্সট নয়, ধ্রুবক-সময় যাচাইকরণ সহ), **JWT স্বাক্ষর এবং যাচাই করা** সঠিকভাবে (স্বাক্ষর + মেয়াদ উত্তীর্ণতা যাচাই), **অথেন্টিকেশন** (আপনি কে) এবং **অনুমোদন** (আপনি কী করতে পারেন, ভূমিকা/স্কোপ চেক এর মাধ্যমে) পার্থক্য করা, এবং গোপন চাবি নিরাপদ রাখা।

জানা কীভাবে এই প্যাটার্ন নিরাপদে প্রয়োগ করতে হয় — টোকেন ইস্যু, যাচাইকরণ ডিপেন্ডেন্সি, এবং অনুমোদন — নিরাপদ FastAPI অ্যাপ্লিকেশন তৈরির জন্য মৌলিক সিনিয়র-স্তরের জ্ঞান, কারণ অথেন্টিকেশন সর্বজনীন এবং একটি ঘন ঘন বিপদজনক ভুলের উৎস যখন ভুলভাবে প্রয়োগ করা হয়।