Kimlik doğrulamayı (OAuth2/JWT) nasıl uygularsınız?

Question

Accepted Answer

FastAPI, kimlik doğrulama uygulamak için yerleşik araçlar (`OAuth2PasswordBearer`, güvenlik yardımcıları) sağlar ve yaygın olarak **OAuth2 şifre akışı JWT tokenları ile** kullanılır. Bu model, token verme (giriş) ile korumalı rotalar üzerinde tokeni doğrulayan bir bağımlılığı birleştirir.

## Şifreleri hash'leme ve giriş sırasında JWT verme

```python
from passlib.context import CryptContext
from jose import jwt
from datetime import datetime, timedelta

pwd = CryptContext(schemes=["bcrypt"])    # secure password hashing

@app.post("/login")
def login(form: OAuth2PasswordRequestForm = Depends()):
    user = get_user(form.username)
    if not user or not pwd.verify(form.password, user.hashed_password):  # constant-time check
        raise HTTPException(401, "Invalid credentials")
    # issue a signed JWT containing the user identity + expiry
    token = jwt.encode(
        {"sub": user.username, "exp": datetime.utcnow() + timedelta(minutes=30)},
        SECRET_KEY, algorithm="HS256",
    )
    return {"access_token": token, "token_type": "bearer"}
```

Şifreler **hash'lenir** (bcrypt) — asla düz metin olarak depolanmaz. Geçerli giriş üzerine, bir **JWT** verilir: kullanıcının kimliğini ve son kullanma tarihini içeren imzalı bir token.

## Korumalı rotalar üzerinde tokeni doğrulama (bir bağımlılık)

```python
from fastapi.security import OAuth2PasswordBearer

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="login")   # extracts the Bearer token

def get_current_user(token: str = Depends(oauth2_scheme)):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=["HS256"])   # verify signature + expiry
        username = payload.get("sub")
    except JWTError:
        raise HTTPException(401, "Invalid token")
    user = get_user(username)
    if not user:
        raise HTTPException(401, "User not found")
    return user

@app.get("/me")
def read_me(user: User = Depends(get_current_user)):     # PROTECTED — requires a valid token
    return user
```

Bir `get_current_user` bağımlılığı JWT'yi çıkarır ve **doğrular** (imza + son kullanma tarihi), kullanıcıyı yükler ve korumalı uç noktalara enjekte edilir — ona bağlı olan herhangi bir rota kimlik doğrulamayı gerektirir.

## Yetkilendirme (roller/kapsamlar)

```python
def require_admin(user: User = Depends(get_current_user)):
    if not user.is_admin:
        raise HTTPException(403, "Forbidden")     # authorization check
    return user
# OAuth2 SCOPES provide fine-grained permission control
```

## Neden önemli

Kimlik doğrulaması hayati ve **güvenlik açısından kritiktir** — hemen hemen her gerçek API rotaları korumaya ihtiyaç duyar ve kimlik doğrulama yanlış yapılırsa ciddi açıklar oluşturur.

FastAPI'nin yaklaşımını anlamak önemlidir: bu, standart **OAuth2-şifre-akışı-ile-JWT** modelinin yapı taşlarını (`OAuth2PasswordBearer`, güvenlik yardımcıları) sağlar ve FastAPI'nin güçlü yanlarından zarif bir şekilde yararlanır — bir giriş uç noktası imzalı bir token verir ve bir **`get_current_user` bağımlılığı** bunu doğrular, ona bağlı olan herhangi bir rotayı temiz bir şekilde korur (idiyomatik FastAPI kimlik doğrulama deseni).

Birkaç husus doğru şekilde uygulanması kritiktir: **şifreleri hash'leme** (bcrypt, asla düz metin olmaksızın, sabit-zaman doğrulaması ile), **JWT'leri imzalama ve doğrulama** doğru şekilde (imza + son kullanma tarihi doğrulaması), **kimlik doğrulama** (siz kimsiniz) ile **yetkilendirme** (ne yapabilirsiniz, rol/kapsam kontrolleri ile) arasında ayrım yapma ve gizli anahtarı güvende tutma.

Bu deseni güvenli bir şekilde uygulamayı bilmek — token verme, doğrulama bağımlılığı ve yetkilendirme — güvenli FastAPI uygulamaları oluştrmak için temel üst düzey bilgidir, çünkü kimlik doğrulama hem her yerde kullanılan hem de yanlış uygulandığında tehlikeli hataların sık kaynağıdır.