您如何实现身份验证（OAuth2/JWT）？

Question

Accepted Answer

FastAPI 提供内置工具（`OAuth2PasswordBearer`、安全实用程序）来实现身份验证，通常使用 **OAuth2 密码流和 JWT 令牌**。该模式结合令牌颁发（登录）和在受保护的路由上验证令牌的依赖项。

## 在登录时对密码进行哈希处理并颁发 JWT

```python
from passlib.context import CryptContext
from jose import jwt
from datetime import datetime, timedelta

pwd = CryptContext(schemes=["bcrypt"])    # secure password hashing

@app.post("/login")
def login(form: OAuth2PasswordRequestForm = Depends()):
    user = get_user(form.username)
    if not user or not pwd.verify(form.password, user.hashed_password):  # constant-time check
        raise HTTPException(401, "Invalid credentials")
    # issue a signed JWT containing the user identity + expiry
    token = jwt.encode(
        {"sub": user.username, "exp": datetime.utcnow() + timedelta(minutes=30)},
        SECRET_KEY, algorithm="HS256",
    )
    return {"access_token": token, "token_type": "bearer"}
```

密码被 **哈希处理**（bcrypt）— 从不以明文形式存储。成功登录时，会颁发一个 **JWT**：一个已签名的令牌，其中包含用户身份和过期时间。

## 在受保护的路由上验证令牌（一个依赖项）

```python
from fastapi.security import OAuth2PasswordBearer

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="login")   # extracts the Bearer token

def get_current_user(token: str = Depends(oauth2_scheme)):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=["HS256"])   # verify signature + expiry
        username = payload.get("sub")
    except JWTError:
        raise HTTPException(401, "Invalid token")
    user = get_user(username)
    if not user:
        raise HTTPException(401, "User not found")
    return user

@app.get("/me")
def read_me(user: User = Depends(get_current_user)):     # PROTECTED — requires a valid token
    return user
```

`get_current_user` 依赖项提取并 **验证** JWT（签名 + 过期时间），加载用户，并注入到受保护的端点中 — 依赖它的任何路由都需要身份验证。

## 授权（角色/范围）

```python
def require_admin(user: User = Depends(get_current_user)):
    if not user.is_admin:
        raise HTTPException(403, "Forbidden")     # authorization check
    return user
# OAuth2 SCOPES provide fine-grained permission control
```

## 为什么这很重要

身份验证是必不可少的，也是 **安全关键** — 几乎每个真实的 API 都需要保护路由，而错误的身份验证会造成严重的安全漏洞。

理解 FastAPI 的方法很重要：它提供了构建块（`OAuth2PasswordBearer`、安全实用程序）来实现标准的 **OAuth2-密码流-JWT** 模式，该模式优雅地利用了 FastAPI 的优势 — 登录端点颁发签名令牌，而 **`get_current_user` 依赖项** 验证它，清晰地保护任何依赖它的路由（惯用的 FastAPI 身份验证模式）。

有几个方面必须正确处理：**对密码进行哈希处理**（bcrypt、从不明文、具有恒定时间验证）、**正确地签名和验证 JWT**（签名 + 过期时间验证）、区分 **身份验证**（您是谁）和 **授权**（您能做什么，通过角色/范围检查），以及保护密钥的安全。

了解如何安全地实现此模式 — 令牌颁发、验证依赖项和授权 — 是构建安全 FastAPI 应用程序的基础级别知识，因为身份验证既无处不在，又是错误实现时频繁出现的危险错误源头。