Kuinka toteutat autentikoinnin (OAuth2/JWT)?

Question

Accepted Answer

FastAPI tarjoaa sisäänrakennettuja työkaluja (`OAuth2PasswordBearer`, turvallisuustyökaluja) autentikoinnin toteuttamiseen, yleensä käyttäen **OAuth2 password flow -mallia JWT-tokeneilla**. Malli yhdistää tokenin myöntämisen (kirjautuminen) riippuvuuteen, joka validoi tokenin suojatuilla reiteillä.

## Salasanojen tiivistäminen ja JWT:n myöntäminen kirjautumisessa

```python
from passlib.context import CryptContext
from jose import jwt
from datetime import datetime, timedelta

pwd = CryptContext(schemes=["bcrypt"])    # secure password hashing

@app.post("/login")
def login(form: OAuth2PasswordRequestForm = Depends()):
    user = get_user(form.username)
    if not user or not pwd.verify(form.password, user.hashed_password):  # constant-time check
        raise HTTPException(401, "Invalid credentials")
    # issue a signed JWT containing the user identity + expiry
    token = jwt.encode(
        {"sub": user.username, "exp": datetime.utcnow() + timedelta(minutes=30)},
        SECRET_KEY, algorithm="HS256",
    )
    return {"access_token": token, "token_type": "bearer"}
```

Salasanat **tiivistetään** (bcrypt) — niitä ei koskaan tallenneta selvätekstinä. Onnistuneen kirjautumisen jälkeen **JWT** myönnetään: allekirjoitettu token, joka sisältää käyttäjän identiteetin ja vanhentumisajan.

## Tokenin validointi suojatuilla reiteillä (riippuvuus)

```python
from fastapi.security import OAuth2PasswordBearer

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="login")   # extracts the Bearer token

def get_current_user(token: str = Depends(oauth2_scheme)):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=["HS256"])   # verify signature + expiry
        username = payload.get("sub")
    except JWTError:
        raise HTTPException(401, "Invalid token")
    user = get_user(username)
    if not user:
        raise HTTPException(401, "User not found")
    return user

@app.get("/me")
def read_me(user: User = Depends(get_current_user)):     # PROTECTED — requires a valid token
    return user
```

`get_current_user`-riippuvuus purkaa ja **validoi** JWT:n (allekirjoitus + vanhentumisaika), lataa käyttäjän, ja se injektoidaan suojatuille päätepisteiille — mikä tahansa reitti, joka riippuu siitä, vaatii autentikoinnin.

## Valtuutus (roolit/soveltamisalat)

```python
def require_admin(user: User = Depends(get_current_user)):
    if not user.is_admin:
        raise HTTPException(403, "Forbidden")     # authorization check
    return user
# OAuth2 SCOPES provide fine-grained permission control
```

## Miksi se on tärkeää

Autentikointi on välttämätöntä ja **kriittistä turvallisuuden kannalta** — lähes jokainen todellinen API tarvitsee reittien suojausta, ja väärä auth-toteutus luo vakavia turvallisuusaukkoja.

FastAPIn lähestymisen ymmärtäminen on tärkeää: se tarjoaa rakennuspalikinat (`OAuth2PasswordBearer`, turvallisuustyökalut) standardille **OAuth2-password-flow-ja-JWT** -mallille, joka hyödyntää elegantisti FastAPIn vahvuuksia — kirjautumispäätepisteellä myönnetään allekirjoitettu tokeni, ja **`get_current_user`-riippuvuus** validoi sen, suojaen puhtaasti minkä tahansa reitin, joka riippuu siitä (idiomattiikka FastAPI-autentikointi-malli).

Useat aspektit ovat kriittisiä oikeaksi toteuttamiseksi: **salasanojen tiivistäminen** (bcrypt, ei koskaan selvätekstiä, jatkuva-aikainen verifikaatio), **JWT:n allekirjoittaminen ja validointi** oikein (allekirjoitus + vanhentumisaika-validointi), **autentikoinnin** (kuka olet) erottaminen **valtuutuksesta** (mitä voit tehdä, rooli/soveltamisala-tarkistusten kautta), ja salausavaimen turvaaminen.

Tämän mallin turvallinen toteutus — token-myöntäminen, validointi-riippuvuus ja valtuutus — on perustavanlaatuista senior-level-tietoa turvatuille FastAPI-sovelluksille, koska auth on sekä kaikkialla esiintyvä että usein virheellisen toteutuksen lähde vaarallisissa virheissä.