तुम्ही प्रमाणीकरण (OAuth2/JWT) कसे लागू करता?

Question

Accepted Answer

FastAPI अंतर्निर्मित साधने (`OAuth2PasswordBearer`, सुरक्षा उपयोगिता) प्रमाणीकरण लागू करण्यासाठी प्रदान करते, सामान्यतः **OAuth2 पासवर्ड प्रवाह JWT टोकन सह** वापरते. हा नमुना टोकन जारी करणे (लॉगिन) आणि संरक्षित मार्गांवर टोकन सत्यापित करणारी अवलंबन एकत्रित करते.

## लॉगिनवर पासवर्ड हॅशिंग आणि JWT जारी करणे

```python
from passlib.context import CryptContext
from jose import jwt
from datetime import datetime, timedelta

pwd = CryptContext(schemes=["bcrypt"])    # secure password hashing

@app.post("/login")
def login(form: OAuth2PasswordRequestForm = Depends()):
    user = get_user(form.username)
    if not user or not pwd.verify(form.password, user.hashed_password):  # constant-time check
        raise HTTPException(401, "Invalid credentials")
    # issue a signed JWT containing the user identity + expiry
    token = jwt.encode(
        {"sub": user.username, "exp": datetime.utcnow() + timedelta(minutes=30)},
        SECRET_KEY, algorithm="HS256",
    )
    return {"access_token": token, "token_type": "bearer"}
```

पासवर्ड **हॅश** केले जातात (bcrypt) — कधीही साधारण मजकूरात साठवले जात नाहीत. वैध लॉगिनवर, एक **JWT** जारी केला जातो: एक हस्ताक्षरित टोकन ज्यामध्ये वापरकर्ता ओळख आणि समाप्ती असते.

## संरक्षित मार्गांवर टोकन सत्यापन (अवलंबन)

```python
from fastapi.security import OAuth2PasswordBearer

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="login")   # extracts the Bearer token

def get_current_user(token: str = Depends(oauth2_scheme)):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=["HS256"])   # verify signature + expiry
        username = payload.get("sub")
    except JWTError:
        raise HTTPException(401, "Invalid token")
    user = get_user(username)
    if not user:
        raise HTTPException(401, "User not found")
    return user

@app.get("/me")
def read_me(user: User = Depends(get_current_user)):     # PROTECTED — requires a valid token
    return user
```

एक `get_current_user` अवलंबन JWT काढते आणि **सत्यापित** करते (स्वाक्षर + समाप्ती), वापरकर्ता लोड करते, आणि संरक्षित एंडपॉइंटमध्ये इंजेक्ट केले जाते — यावर अवलंबून असणार्या कोणत्याही मार्गाला प्रमाणीकरण आवश्यक आहे.

## अधिकार (भूमिका/स्कोप)

```python
def require_admin(user: User = Depends(get_current_user)):
    if not user.is_admin:
        raise HTTPException(403, "Forbidden")     # authorization check
    return user
# OAuth2 SCOPES provide fine-grained permission control
```

## हे महत्वाचे का आहे

प्रमाणीकरण आवश्यक आणि **सुरक्षा-महत्वपूर्ण** आहे — जवळजवळ प्रत्येक वास्तविक API ला मार्गांची संरक्षा करावी लागते, आणि प्रमाणीकरणात त्रुटी गंभीर असुरक्षितता निर्माण करते.

FastAPI च्या दृष्टिकोनाची समज महत्वाची आहे: हे मानक **OAuth2-पासवर्ड-प्रवाह-JWT सह** पॅटर्नसाठी बिल्डिंग ब्लॉक्स (`OAuth2PasswordBearer`, सुरक्षा उपयोगिता) प्रदान करते, जे FastAPI च्या शक्तीचा मार्जितपणे लाभ उठाते — लॉगिन एंडपॉइंट हस्ताक्षरित टोकन जारी करते, आणि **`get_current_user` अवलंबन** हे सत्यापित करते, स्वच्छतेने कोणत्याही मार्गाची संरक्षा करते ज्यावर हे अवलंबून आहे (FastAPI चा मूर्तिमंत प्रमाणीकरण पॅटर्न).

अनेक पहलू योग्यरित्या कार्यान्वित करण्यासाठी महत्वपूर्ण आहेत: **पासवर्ड हॅशिंग** (bcrypt, कधीही साधारण मजकूर नाही, सतत-वेळ सत्यापनासह), **JWT स्वाक्षर आणि सत्यापन** योग्यरित्या (स्वाक्षर + समाप्ती सत्यापन), **प्रमाणीकरण** (तुम्ही कोण आहात) आणि **अधिकार** (तुम्ही काय करू शकता, भूमिका/स्कोप चेकद्वारे) यांमध्ये फरक करणे, आणि गोपनीय कुंजी सुरक्षित ठेवणे.

हा पॅटर्न सुरक्षितपणे कार्यान्वित कसा करायचा हे जाणून घेणे — टोकन जारी करणे, सत्यापन अवलंबन, आणि अधिकार — सुरक्षित FastAPI अनुप्रयोग तयार करण्यासाठी मूलभूत सीनियर-स्तरीय ज्ञान आहे, कारण प्रमाणीकरण सर्वव्यापी आहे आणि योग्यरित्या लागू केल्यास धोकादायक चुका होण्याचा वारंवार स्रोत आहे.