Πώς υλοποιείς authentication (OAuth2/JWT);

Question

Accepted Answer

Το FastAPI παρέχει ενσωματωμένα εργαλεία (`OAuth2PasswordBearer`, security utilities) για την υλοποίηση authentication, συνήθως χρησιμοποιώντας **OAuth2 password flow με JWT tokens**. Το pattern συνδυάζει την έκδοση token (login) με μια εξάρτηση που επικυρώνει το token στις προστατευμένες διαδρομές.

## Hashing κωδικών πρόσβασης και έκδοση JWT κατά το login

```python
from passlib.context import CryptContext
from jose import jwt
from datetime import datetime, timedelta

pwd = CryptContext(schemes=["bcrypt"])    # secure password hashing

@app.post("/login")
def login(form: OAuth2PasswordRequestForm = Depends()):
    user = get_user(form.username)
    if not user or not pwd.verify(form.password, user.hashed_password):  # constant-time check
        raise HTTPException(401, "Invalid credentials")
    # issue a signed JWT containing the user identity + expiry
    token = jwt.encode(
        {"sub": user.username, "exp": datetime.utcnow() + timedelta(minutes=30)},
        SECRET_KEY, algorithm="HS256",
    )
    return {"access_token": token, "token_type": "bearer"}
```

Οι κωδικοί πρόσβασης είναι **hashed** (bcrypt) — ποτέ δεν αποθηκεύονται σε plaintext. Κατά την έγκυρη σύνδεση, εκδίδεται ένα **JWT**: ένα υπογεγραμμένο token που φέρει την ταυτότητα του χρήστη και μια ημερομηνία λήξης.

## Επικύρωση του token στις προστατευμένες διαδρομές (μια εξάρτηση)

```python
from fastapi.security import OAuth2PasswordBearer

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="login")   # extracts the Bearer token

def get_current_user(token: str = Depends(oauth2_scheme)):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=["HS256"])   # verify signature + expiry
        username = payload.get("sub")
    except JWTError:
        raise HTTPException(401, "Invalid token")
    user = get_user(username)
    if not user:
        raise HTTPException(401, "User not found")
    return user

@app.get("/me")
def read_me(user: User = Depends(get_current_user)):     # PROTECTED — requires a valid token
    return user
```

Μια εξάρτηση `get_current_user` εξάγει και **επικυρώνει** το JWT (signature + expiry), φορτώνει τον χρήστη, και εγχύνεται στα προστατευμένα endpoints — οποιαδήποτε διαδρομή που εξαρτάται από αυτήν απαιτεί authentication.

## Authorization (roles/scopes)

```python
def require_admin(user: User = Depends(get_current_user)):
    if not user.is_admin:
        raise HTTPException(403, "Forbidden")     # authorization check
    return user
# OAuth2 SCOPES provide fine-grained permission control
```

## Γιατί είναι σημαντικό

Το authentication είναι απαραίτητο και **κριτικό για την ασφάλεια** — σχεδόν κάθε πραγματικό API πρέπει να προστατεύει διαδρομές, και αν κάνεις λάθος στην authentication δημιουργείς σοβαρές ευπάθειες.

Η κατανόηση της προσέγγισης του FastAPI είναι σημαντική: παρέχει τα δομικά στοιχεία (`OAuth2PasswordBearer`, security utilities) για το πρότυπο **OAuth2-password-flow-with-JWT**, το οποίο αξιοποιεί κομψά τα δυνατά σημεία του FastAPI — ένα endpoint login εκδίδει ένα υπογεγραμμένο token, και μια **εξάρτηση `get_current_user`** το επικυρώνει, προστατεύοντας καθαρά οποιαδήποτε διαδρομή που εξαρτάται από αυτήν (το ιδιωματικό FastAPI auth pattern).

Πολλές πτυχές είναι κρίσιμες για να τις κάνεις σωστά: **hashing κωδικών πρόσβασης** (bcrypt, ποτέ plaintext, με constant-time verification), **υπογραφή και επικύρωση JWTs** σωστά (signature + expiry validation), διάκριση **authentication** (ποιος είσαι) από **authorization** (τι μπορείς να κάνεις, μέσω role/scope checks), και διατήρηση του secret key ασφαλούς.

Η γνώση για το πώς να υλοποιήσεις αυτό το pattern με ασφάλεια — έκδοση token, η validation dependency, και authorization — είναι θεμελιώδης γνώση senior-level για την κατασκευή ασφαλών FastAPI εφαρμογών, καθώς η authentication είναι και διάδηλη και μια συχνή πηγή επικίνδυνων λαθών όταν υλοποιείται εσφαλμένα.