คุณ implement การยืนยันตัวตน (OAuth2/JWT) ได้อย่างไร?

Question

Accepted Answer

FastAPI มีเครื่องมือในตัว (`OAuth2PasswordBearer`, security utilities) สำหรับการ implement การยืนยันตัวตน โดยมักใช้ **OAuth2 password flow ร่วมกับ JWT tokens** pattern นี้รวมการออก token (login) เข้ากับ dependency ที่ตรวจสอบ token บน routes ที่ป้องกันไว้

## การ hash รหัสผ่านและออก JWT ตอน login

```python
from passlib.context import CryptContext
from jose import jwt
from datetime import datetime, timedelta

pwd = CryptContext(schemes=["bcrypt"])    # secure password hashing

@app.post("/login")
def login(form: OAuth2PasswordRequestForm = Depends()):
    user = get_user(form.username)
    if not user or not pwd.verify(form.password, user.hashed_password):  # constant-time check
        raise HTTPException(401, "Invalid credentials")
    # issue a signed JWT containing the user identity + expiry
    token = jwt.encode(
        {"sub": user.username, "exp": datetime.utcnow() + timedelta(minutes=30)},
        SECRET_KEY, algorithm="HS256",
    )
    return {"access_token": token, "token_type": "bearer"}
```

รหัสผ่านถูก **hash** (bcrypt) — ไม่เคยเก็บเป็น plaintext เมื่อ login ถูกต้อง **JWT** จะถูกออก: token ที่ลงนามแล้วซึ่งพกตัวตนของผู้ใช้และเวลาหมดอายุ

## การตรวจสอบ token บน routes ที่ป้องกันไว้ (dependency)

```python
from fastapi.security import OAuth2PasswordBearer

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="login")   # extracts the Bearer token

def get_current_user(token: str = Depends(oauth2_scheme)):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=["HS256"])   # verify signature + expiry
        username = payload.get("sub")
    except JWTError:
        raise HTTPException(401, "Invalid token")
    user = get_user(username)
    if not user:
        raise HTTPException(401, "User not found")
    return user

@app.get("/me")
def read_me(user: User = Depends(get_current_user)):     # PROTECTED — requires a valid token
    return user
```

dependency `get_current_user` ดึงและ **ตรวจสอบ** JWT (signature + expiry), โหลดผู้ใช้ และถูก inject เข้าไปใน endpoints ที่ป้องกันไว้ — route ใดก็ตามที่พึ่งพามันจะต้องมีการยืนยันตัวตน

## การอนุญาตสิทธิ์ (roles/scopes)

```python
def require_admin(user: User = Depends(get_current_user)):
    if not user.is_admin:
        raise HTTPException(403, "Forbidden")     # authorization check
    return user
# OAuth2 SCOPES provide fine-grained permission control
```

## ทำไมจึงสำคัญ

การยืนยันตัวตนเป็นสิ่งจำเป็นและ **สำคัญต่อความปลอดภัย** — API จริงเกือบทุกตัวต้องป้องกัน routes และการทำ auth ผิดพลาดสร้างช่องโหว่ที่ร้ายแรง

การเข้าใจแนวทางของ FastAPI มีความสำคัญ: มันให้ส่วนประกอบสำหรับสร้าง (`OAuth2PasswordBearer`, security utilities) สำหรับ pattern มาตรฐาน **OAuth2-password-flow-with-JWT** ซึ่งใช้ประโยชน์จากจุดแข็งของ FastAPI อย่างสง่างาม — endpoint login ออก token ที่ลงนาม และ **dependency `get_current_user`** ตรวจสอบมัน ป้องกัน route ใดก็ตามที่พึ่งพามันอย่างสะอาด (pattern auth ที่เป็นสำนวนของ FastAPI)

หลายแง่มุมที่สำคัญต้องทำให้ถูกต้อง: **การ hash รหัสผ่าน** (bcrypt ไม่ใช่ plaintext พร้อมการตรวจสอบแบบ constant-time), **การลงนามและตรวจสอบ JWT** อย่างถูกต้อง (การตรวจสอบ signature + expiry), การแยก **การยืนยันตัวตน** (คุณเป็นใคร) ออกจาก **การอนุญาตสิทธิ์** (คุณทำอะไรได้ ผ่านการตรวจสอบ role/scope) และการเก็บ secret key ให้ปลอดภัย

การรู้วิธี implement pattern นี้อย่างปลอดภัย — การออก token, dependency การตรวจสอบ และการอนุญาตสิทธิ์ — เป็นความรู้พื้นฐานระดับ senior สำหรับการสร้างแอป FastAPI ที่ปลอดภัย เนื่องจาก auth มีอยู่ทั่วไปและเป็นแหล่งที่มาที่พบบ่อยของความผิดพลาดอันตรายเมื่อ implement ไม่ถูกต้อง