Как вы реализуете аутентификацию (OAuth2/JWT)?

Question

Accepted Answer

FastAPI предоставляет встроенные инструменты (`OAuth2PasswordBearer`, утилиты безопасности) для реализации аутентификации, обычно используя **OAuth2 password flow с JWT токенами**. Паттерн объединяет выдачу токена (вход в систему) с зависимостью, которая валидирует токен на защищённых маршрутах.

## Хеширование паролей и выдача JWT при входе

```python
from passlib.context import CryptContext
from jose import jwt
from datetime import datetime, timedelta

pwd = CryptContext(schemes=["bcrypt"])    # secure password hashing

@app.post("/login")
def login(form: OAuth2PasswordRequestForm = Depends()):
    user = get_user(form.username)
    if not user or not pwd.verify(form.password, user.hashed_password):  # constant-time check
        raise HTTPException(401, "Invalid credentials")
    # issue a signed JWT containing the user identity + expiry
    token = jwt.encode(
        {"sub": user.username, "exp": datetime.utcnow() + timedelta(minutes=30)},
        SECRET_KEY, algorithm="HS256",
    )
    return {"access_token": token, "token_type": "bearer"}
```

Пароли **хешируются** (bcrypt) — никогда не сохраняются в открытом виде. При успешном входе выдаётся **JWT**: подписанный токен, содержащий идентичность пользователя и время истечения.

## Валидация токена на защищённых маршрутах (зависимость)

```python
from fastapi.security import OAuth2PasswordBearer

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="login")   # extracts the Bearer token

def get_current_user(token: str = Depends(oauth2_scheme)):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=["HS256"])   # verify signature + expiry
        username = payload.get("sub")
    except JWTError:
        raise HTTPException(401, "Invalid token")
    user = get_user(username)
    if not user:
        raise HTTPException(401, "User not found")
    return user

@app.get("/me")
def read_me(user: User = Depends(get_current_user)):     # PROTECTED — requires a valid token
    return user
```

Зависимость `get_current_user` извлекает и **проверяет** JWT (подпись + истечение), загружает пользователя и внедряется в защищённые endpoints — любой маршрут, зависящий от неё, требует аутентификации.

## Авторизация (роли/scopes)

```python
def require_admin(user: User = Depends(get_current_user)):
    if not user.is_admin:
        raise HTTPException(403, "Forbidden")     # authorization check
    return user
# OAuth2 SCOPES provide fine-grained permission control
```

## Почему это важно

Аутентификация является критически важной с точки зрения безопасности — почти каждый реальный API должен защищать маршруты, и ошибки в аутентификации создают серьёзные уязвимости.

Понимание подхода FastAPI важно: он предоставляет строительные блоки (`OAuth2PasswordBearer`, утилиты безопасности) для стандартного паттерна **OAuth2-password-flow-with-JWT**, который элегантно использует сильные стороны FastAPI — endpoint входа выдаёт подписанный токен, а **зависимость `get_current_user`** валидирует его, чисто защищая любой маршрут, зависящий от неё (идиоматичный паттерн аутентификации FastAPI).

Несколько аспектов критичны для правильной реализации: **хеширование паролей** (bcrypt, никогда не открытый вид, с проверкой за постоянное время), **подписание и верификация JWT** (валидация подписи + истечения), различие между **аутентификацией** (кто вы) и **авторизацией** (что вы можете делать, через проверки роли/scope), и безопасность хранения секретного ключа.

Умение безопасно реализовать этот паттерн — выдачу токенов, зависимость валидации и авторизацию — это фундаментальное знание senior-уровня для создания защищённых FastAPI приложений, поскольку аутентификация вездесуща и часто является источником опасных ошибок при неправильной реализации.