引言

随着互联网的快速发展，用户认证和权限控制成为Web应用开发中的关键环节。JWT（JSON Web Token）因其轻量级、无需服务器存储用户密码等优势，成为现代Web应用中常用的认证方式。FastAPI作为Python中流行的异步Web框架，能够高效地集成JWT认证，实现安全登录与权限控制。本文将详细介绍如何在FastAPI中集成JWT认证，并实现一步到位的安全登录与权限控制。

JWT认证简介

JWT是一种开源的、基于JSON的开放标准（RFC 7519），用于在各方之间安全地传输信息。它包含三部分：头部（Header）、载荷（Payload）和签名（Signature）。JWT的主要特点如下：

• 无状态：服务器不存储任何用户信息，减轻服务器负担。
• 自包含：包含用户信息，无需查询数据库。
• 可扩展：可以添加自定义字段，满足不同应用需求。

FastAPI集成JWT认证

1. 安装依赖

首先，确保你的环境中已安装FastAPI和Uvicorn。接着，安装python-jose库，用于生成和验证JWT：

pip install fastapi uvicorn python-jose[cryptography] 

2. 创建FastAPI应用

创建一个FastAPI应用，并定义路由和视图函数：

from fastapi import FastAPI, Depends, HTTPException, status from jose import JWTError, jwt from datetime import datetime, timedelta app = FastAPI() SECRET_KEY = "your_secret_key" ALGORITHM = "HS256" ACCESS_TOKEN_EXPIRE_MINUTES = 30 def create_access_token(data: dict, expires_delta: timedelta = None): to_encode = data.copy() if expires_delta: expire = datetime.utcnow() + expires_delta else: expire = datetime.utcnow() + timedelta(minutes=15) to_encode.update({"exp": expire}) encoded_jwt = jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM) return encoded_jwt def verify_token(token: str, credentials_exception): try: payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM]) username: str = payload.get("sub") if username is None: raise credentials_exception return username except JWTError: raise credentials_exception def get_current_user(token: str = Depends(verify_token)): credentials_exception = HTTPException( status_code=status.HTTP_401_UNAUTHORIZED, detail="Could not validate credentials", headers={"WWW-Authenticate": "Bearer"}, ) return verify_token(token, credentials_exception) @app.post("/token", response_model=Token) def login_for_access_token(form_data: OAuth2PasswordRequestForm = Depends()): user = authenticate_user(fake_db, form_data.username, form_data.password) if not user: raise HTTPException( status_code=status.HTTP_401_UNAUTHORIZED, detail="Incorrect username or password", headers={"WWW-Authenticate": "Bearer"}, ) access_token_expires = timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES) access_token = create_access_token( data={"sub": user.username}, expires_delta=access_token_expires ) return {"access_token": access_token, "token_type": "bearer"} @app.get("/users/me", response_model=User) def read_users_me(current_user: User = Depends(get_current_user)): return current_user 

3. 实现权限控制

在FastAPI中，可以使用依赖注入（Dependency Injection）机制实现权限控制。以下是一个简单的示例：

from fastapi import HTTPException, Depends, status def get_current_active_user(token: str = Depends(verify_token)): credentials_exception = HTTPException( status_code=status.HTTP_401_UNAUTHORIZED, detail="Could not validate credentials", headers={"WWW-Authenticate": "Bearer"}, ) return verify_token(token, credentials_exception) @app.get("/admin", response_model=AnyModel) def read_admin_data(current_active_user: User = Depends(get_current_active_user)): if current_active_user.role != "admin": raise HTTPException(status_code=403, detail="Not enough permissions") return {"data": "This is an admin-only endpoint"} 

在上面的示例中，read_admin_data视图函数需要用户具有管理员权限才能访问。我们通过get_current_active_user依赖注入函数获取当前用户的角色，然后进行权限判断。

总结

本文介绍了如何在FastAPI中集成JWT认证，并实现安全登录与权限控制。通过使用python-jose库，我们可以轻松生成和验证JWT，实现无状态的认证方式。同时，利用FastAPI的依赖注入机制，我们可以方便地实现权限控制。希望本文能帮助你更好地理解和应用JWT认证技术在FastAPI中的应用。