Authentication-ஐ (OAuth2/JWT) எவ்வாறு செயல்படுத்துவது?

Question

Accepted Answer

FastAPI authentication-ஐ செயல்படுத்த built-in tools-ஐ (`OAuth2PasswordBearer`, security utilities) வழங்குகிறது, பொதுவாக **OAuth2 password flow with JWT tokens**-ஐப் பயன்படுத்துகிறது. இந்த pattern token issuance-ஐ (login) protected routes-இல் token-ஐ validate செய்யும் ஒரு dependency-உடன் இணைக்கிறது.

## Passwords-ஐ hash செய்தல் மற்றும் login-இல் ஒரு JWT வழங்குதல்

```python
from passlib.context import CryptContext
from jose import jwt
from datetime import datetime, timedelta

pwd = CryptContext(schemes=["bcrypt"])    # secure password hashing

@app.post("/login")
def login(form: OAuth2PasswordRequestForm = Depends()):
    user = get_user(form.username)
    if not user or not pwd.verify(form.password, user.hashed_password):  # constant-time check
        raise HTTPException(401, "Invalid credentials")
    # issue a signed JWT containing the user identity + expiry
    token = jwt.encode(
        {"sub": user.username, "exp": datetime.utcnow() + timedelta(minutes=30)},
        SECRET_KEY, algorithm="HS256",
    )
    return {"access_token": token, "token_type": "bearer"}
```

Passwords **hash** செய்யப்படுகின்றன (bcrypt) — ஒருபோதும் plaintext-ஆக store செய்யப்படுவதில்லை. சரியான login-இல், ஒரு **JWT** வழங்கப்படுகிறது: user-இன் identity மற்றும் ஒரு expiry-ஐ எடுத்துச் செல்லும் ஒரு signed token.

## protected routes-இல் token-ஐ validate செய்தல் (ஒரு dependency)

```python
from fastapi.security import OAuth2PasswordBearer

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="login")   # extracts the Bearer token

def get_current_user(token: str = Depends(oauth2_scheme)):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=["HS256"])   # verify signature + expiry
        username = payload.get("sub")
    except JWTError:
        raise HTTPException(401, "Invalid token")
    user = get_user(username)
    if not user:
        raise HTTPException(401, "User not found")
    return user

@app.get("/me")
def read_me(user: User = Depends(get_current_user)):     # PROTECTED — requires a valid token
    return user
```

ஒரு `get_current_user` dependency JWT-ஐ extract செய்து **verify** செய்கிறது (signature + expiry), user-ஐ load செய்கிறது, மற்றும் protected endpoints-இல் inject செய்யப்படுகிறது — அதைச் சார்ந்திருக்கும் எந்த route-க்கும் authentication தேவைப்படுகிறது.

## Authorization (roles/scopes)

```python
def require_admin(user: User = Depends(get_current_user)):
    if not user.is_admin:
        raise HTTPException(403, "Forbidden")     # authorization check
    return user
# OAuth2 SCOPES provide fine-grained permission control
```

## இது ஏன் முக்கியம்

Authentication அவசியமானது மற்றும் **security-critical** — கிட்டத்தட்ட ஒவ்வொரு உண்மையான API-க்கும் routes-ஐப் பாதுகாக்க வேண்டும், மேலும் auth-ஐ தவறாகச் செய்வது தீவிரமான vulnerabilities-ஐ உருவாக்குகிறது.

FastAPI-இன் அணுகுமுறையைப் புரிந்துகொள்வது முக்கியமானது: இது standard **OAuth2-password-flow-with-JWT** pattern-க்கான building blocks-ஐ (`OAuth2PasswordBearer`, security utilities) வழங்குகிறது, இது FastAPI-இன் வலிமைகளை நேர்த்தியாகப் பயன்படுத்துகிறது — ஒரு login endpoint ஒரு signed token-ஐ வழங்குகிறது, மற்றும் ஒரு **`get_current_user` dependency** அதை validate செய்கிறது, அதைச் சார்ந்திருக்கும் எந்த route-ஐயும் சுத்தமாகப் பாதுகாக்கிறது (idiomatic FastAPI auth pattern).

பல அம்சங்களை சரியாகச் செய்வது முக்கியம்: **passwords-ஐ hash செய்தல்** (bcrypt, ஒருபோதும் plaintext அல்ல, constant-time verification-உடன்), **JWTs-ஐ signing மற்றும் verifying** சரியாகச் செய்தல் (signature + expiry validation), **authentication** (நீங்கள் யார்) மற்றும் **authorization** (நீங்கள் என்ன செய்ய முடியும், role/scope checks மூலம்) ஆகியவற்றை வேறுபடுத்துதல், மற்றும் secret key-ஐ பாதுகாப்பாக வைத்திருத்தல்.

இந்த pattern-ஐ பாதுகாப்பாகச் செயல்படுத்துவது எப்படி என்பதை அறிந்திருப்பது — token issuance, validation dependency, மற்றும் authorization — secure FastAPI applications-ஐ உருவாக்குவதற்கான அடிப்படை senior-level அறிவாகும், ஏனெனில் auth தவறாகச் செயல்படுத்தப்படும்போது எங்கும் பரவலானதாகவும் ஆபத்தான தவறுகளின் அடிக்கடி வரும் மூலமாகவும் உள்ளது.