Làm thế nào để triển khai authentication (OAuth2/JWT)?

Question

Accepted Answer

FastAPI cung cấp các công cụ tích hợp (`OAuth2PasswordBearer`, các tiện ích security) để triển khai authentication, thường dùng **OAuth2 password flow với JWT token**. Pattern kết hợp việc phát hành token (đăng nhập) với một dependency validate token trên các route được bảo vệ.

## Hash password và phát hành một JWT khi đăng nhập

```python
from passlib.context import CryptContext
from jose import jwt
from datetime import datetime, timedelta

pwd = CryptContext(schemes=["bcrypt"])    # hash password an toàn

@app.post("/login")
def login(form: OAuth2PasswordRequestForm = Depends()):
    user = get_user(form.username)
    if not user or not pwd.verify(form.password, user.hashed_password):  # kiểm tra constant-time
        raise HTTPException(401, "Invalid credentials")
    # phát hành một JWT đã ký chứa danh tính người dùng + thời hạn
    token = jwt.encode(
        {"sub": user.username, "exp": datetime.utcnow() + timedelta(minutes=30)},
        SECRET_KEY, algorithm="HS256",
    )
    return {"access_token": token, "token_type": "bearer"}
```

Password được **hash** (bcrypt) — không bao giờ lưu plaintext. Khi đăng nhập hợp lệ, một **JWT** được phát hành: một token đã ký mang danh tính người dùng và một thời hạn.

## Validate token trên route được bảo vệ (một dependency)

```python
from fastapi.security import OAuth2PasswordBearer

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="login")   # trích xuất Bearer token

def get_current_user(token: str = Depends(oauth2_scheme)):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=["HS256"])   # xác minh signature + thời hạn
        username = payload.get("sub")
    except JWTError:
        raise HTTPException(401, "Invalid token")
    user = get_user(username)
    if not user:
        raise HTTPException(401, "User not found")
    return user

@app.get("/me")
def read_me(user: User = Depends(get_current_user)):     # ĐƯỢC BẢO VỆ — yêu cầu token hợp lệ
    return user
```

Một dependency `get_current_user` trích xuất và **xác minh** JWT (signature + thời hạn), nạp người dùng, và được tiêm vào các endpoint được bảo vệ — bất kỳ route nào phụ thuộc vào nó đều yêu cầu authentication.

## Authorization (role/scope)

```python
def require_admin(user: User = Depends(get_current_user)):
    if not user.is_admin:
        raise HTTPException(403, "Forbidden")     # kiểm tra authorization
    return user
# OAuth2 SCOPE cung cấp kiểm soát quyền chi tiết
```

## Tại sao điều này quan trọng

Authentication thiết yếu và **then chốt về bảo mật** — gần như mọi API thực cần bảo vệ route, và làm sai auth tạo ra các lỗ hổng nghiêm trọng.

Hiểu cách tiếp cận của FastAPI quan trọng: nó cung cấp các khối xây dựng (`OAuth2PasswordBearer`, các tiện ích security) cho pattern **OAuth2-password-flow-với-JWT** chuẩn, vốn tận dụng thanh lịch các điểm mạnh của FastAPI — một endpoint đăng nhập phát hành một token đã ký, và một **dependency `get_current_user`** validate nó, bảo vệ gọn gàng bất kỳ route nào phụ thuộc vào nó (pattern auth idiomatic của FastAPI).

Một số khía cạnh then chốt cần làm đúng: **hash password** (bcrypt, không bao giờ plaintext, với xác minh constant-time), **ký và xác minh JWT** đúng cách (validate signature + thời hạn), phân biệt **authentication** (bạn là ai) với **authorization** (bạn được làm gì, qua kiểm tra role/scope), và giữ secret key an toàn.

Biết cách triển khai pattern này an toàn — phát hành token, dependency validation, và authorization — là kiến thức cấp senior cơ bản để xây dựng ứng dụng FastAPI an toàn, vì auth vừa phổ biến vừa là nguồn thường xuyên của các sai lầm nguy hiểm khi triển khai sai.