Kif timplimenta l-awtentifikazzjoni (OAuth2/JWT)?

Question

Accepted Answer

FastAPI jipprovdi għodod integrati (`OAuth2PasswordBearer`, servizzi ta' sigurtà) biex timplimenta l-awtentifikazzjoni, komunement tuża **fluss ta' password OAuth2 b'tokens JWT**. Il-mudell jikkombina l-issuq ta' token (login) b'dipendenza li tvalida t-token fuq ruti protetti.

## Hashing ta' passwords u issuq ta' JWT fuq login

```python
from passlib.context import CryptContext
from jose import jwt
from datetime import datetime, timedelta

pwd = CryptContext(schemes=["bcrypt"])    # secure password hashing

@app.post("/login")
def login(form: OAuth2PasswordRequestForm = Depends()):
    user = get_user(form.username)
    if not user or not pwd.verify(form.password, user.hashed_password):  # constant-time check
        raise HTTPException(401, "Invalid credentials")
    # issue a signed JWT containing the user identity + expiry
    token = jwt.encode(
        {"sub": user.username, "exp": datetime.utcnow() + timedelta(minutes=30)},
        SECRET_KEY, algorithm="HS256",
    )
    return {"access_token": token, "token_type": "bearer"}
```

Il-passwords **hashing** (bcrypt) — qatt maħżunej kif text semplic. Fuq login validu, **JWT** jittaħ: token iffirmat li jdum l-identità u l-iskadenza tal-utent.

## Validazzjoni ta' token fuq ruti protetti (dipendenza)

```python
from fastapi.security import OAuth2PasswordBearer

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="login")   # extracts the Bearer token

def get_current_user(token: str = Depends(oauth2_scheme)):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=["HS256"])   # verify signature + expiry
        username = payload.get("sub")
    except JWTError:
        raise HTTPException(401, "Invalid token")
    user = get_user(username)
    if not user:
        raise HTTPException(401, "User not found")
    return user

@app.get("/me")
def read_me(user: User = Depends(get_current_user)):     # PROTECTED — requires a valid token
    return user
```

Dipendenza `get_current_user` testratt u **tiveriifka** l-JWT (sinjatura + iskadenza), tħammel l-utent, u tinġettata f'endpoints protetti — kwalunkwe ruta li tidependi fuqu meħtieġa l-awtentifikazzjoni.

## Awtorizzazzjoni (rwoli/iskop)

```python
def require_admin(user: User = Depends(get_current_user)):
    if not user.is_admin:
        raise HTTPException(403, "Forbidden")     # authorization check
    return user
# OAuth2 SCOPES provide fine-grained permission control
```

## Għaliex dan huwa importanti

L-awtentifikazzjoni hija essenzjali u **kritika għas-sigurtà** — kważi kull API reali għandha tproteggi ruti, u error fil-awtentifikazzjoni jinħoloq vulnerabbiltajiet serji.

Fhim tal-approċċ ta' FastAPI huwa importanti: jipprovdi blocks (​​`OAuth2PasswordBearer`, servizzi ta' sigurtà) għall-mudell standard **OAuth2-password-flow-with-JWT**, li elejantement juża l-forzi ta' FastAPI — endpoint ta' login jissuq token iffirmat, u **dipendenza `get_current_user`** tvalidah, b'mod nett tipproteggi kwalunkwe ruta li tidependi fuqu (mudell awtentifikazzjoni idiomatiku ta' FastAPI).

Aspetti bosta huma kritiċi biex jimplimentaw b'mod korrett: **hashing ta' passwords** (bcrypt, mhux text semplic, b'verifika ta' ħin kostanti), **iffirmar u verifika ta' JWT** b'mod korrett (sinjatura + validazzjoni ta' iskadenza), distinguir **awtentifikazzjoni** (min inti) minn **awtorizzazzjoni** (x'tista' tagħmel, permezz ta' checks ta' rwol/iskop), u żomm iċ-ċavetta sigura sigura.

Taf kif timplimenta dan il-mudell b'sigurtà — issuq ta' token, dipendenza ta' validazzjoni, u awtorizzazzjoni — huwa għarif fundamentali ta' livell anzjan biex tibni applikazzjonijiet FastAPI siguri, billi l-awtentifikazzjoni hija ovunque u sors ta' errors perikolużi li ħafna drabi meta jimplimentaw b'mod inkorrut.