本文目錄一覽:
26.FastAPI安全性
軟體開發中,安全是永恆的話題,FastAPI作為一個優秀的Python Web開發框架,為用戶提供了多種工具,幫助用戶以標準的方式輕鬆快速地解決軟體開發中的安全性。
FastAPI 的 fastapi.security 模塊中為各種安全方案提供了一些工具,這些工具簡化了這些安全機制的使用方法。
FastAPI提供的OAuth2PasswordBearer是使用 OAuth2的密碼授權模式的Bearer Token(不記名 token) 。創建OAuth2PasswordBearer 實例需要接收URL作為參數。
客戶端會向該 URL 通過表單的格式發送 username 和 password 參數,然後得到一個 token 值;OAuth2PasswordBearer 並不會創建相應的 URL 路徑操作,只是指明了客戶端用來獲取 token 的目標 URL。
代碼示例:
在上面的代碼中, tokenUrl=”token”指的token是相對 URL 。
此時訪問,其返回結果:
上面的結果表明:訪問的內容以及被保護,必須經過授權後才可以訪問。
當獲取到表單數據後,需要進行密碼校驗,一般情況下,我們都會考慮使用哈希密碼,PassLib 是一個用於處理哈希密碼的非常好的 Python 包,它支持許多安全哈希演算法以及配合演算法使用的實用程序。
具體passlib的使用方法可以查看其文檔
下面的代碼示例在上面代碼的基礎上增加用戶登錄及Token驗證
啟動應用並執行請求:
測試無效登錄:
測試正常登錄:
返回token,在Headers中使用token訪問:
修改token後請求:
上面的代碼如果去掉 await verify_token(token) 行,則:
curl -H “Authorization:Bearer u000010007” -i
會得到返回結果,原因是默認情況下,OAuth2PasswordBearer只負責請求頭中是否具有Authorization:Bearer,如果有就會執行相應的請求,所以,為了驗證Token的正確性,需要每個方法都執行相應的驗證代碼。
本例只作為例子,在實際開發中不會直接拿用戶ID作為Token,為了提高系統的安全性,需要使用 JWT。下面我們就介紹 JWT。
JWT是一個將 JSON 對象編碼為密集且沒有空格的長字元串的標準。 具體學習和了解 JWT,請參考 。
需要提到的主要是 JWT中的sub,JWT 的規範中有一個 sub 鍵,值為該令牌的主題。使用它並不是必須的,但這是我們放置用戶標識的地方,所以一般情況下,我們在sub中存放用戶ID, 為了避免 ID 衝突,當為創建 JWT 令牌時,可以在 sub 鍵的值前加上前綴,例如 username:、userid:等。
在 Python 中生成和校驗 JWT 令牌 ,可以使用PyJWT,也可以使用 python-jose 。我們在本例中使用 python-jose 來編寫代碼。
使用:
使用 JWT,需要在系統中添加一個SECRET_KEY變數,用於生成令牌,如:
以下代碼在上面代碼的基礎上使用 JWT 令牌。
與前面的代碼差別之處:
1.生成Token的函數:build_access_token
2.校驗Token的函數:verify_token
3.登錄函數:login
請求測試:
登錄:
令牌訪問:
錯誤的令牌訪問:
在大部分應用程序中,當用戶訪問某個介面API的時候,都需要明確訪問者的身份,所以在應用程序中需要隨時獲取當前用戶,由於在 JWT 令牌的 sub 欄位中已經保存了用戶信息,所以獲取當前用戶只需要對令牌解碼即可。
在上面的代碼的基礎上,增加兩個函數,代碼如下:
請求測試:
以上,我們完成了一個簡單的安全性示例,FastAPI提供的安全性框架幫助我們節約了很多代碼,但在實際開發中,我們常常使用微服務的方式來開發,對於鑒權最好設計獨立的微服務進行處理。後面我們會展示一個採用FastAPI開發的鑒權微服務,以便在此基礎上進行業務系統的開發。
k8s之 service account token
在前一篇 筆記 中我們驗證了使用sa的token作為一種認證,向apiserver發送請求,這裡簡述下它的認證原理和流程。
首先得知道這種token稱為JWT(json web token),可以參考 官網 介紹,而且這是一種 RFC 標準。
JWT是服務端發給客戶端的一種加密憑證(通過RSA或者密碼加密),客戶端訪問服務端(此不一定是發布憑證的服務端)時攜帶上這個憑證,服務端解密此憑證,驗證通過就可以允許客戶端訪問。
在k8s中,使用RSA私鑰/公鑰進行加密和驗證,kube-controller-manager,使用如下參數指定私鑰,對token進行簽名
kube-apiserver使用如下參數指定公鑰,對token進行驗證
JWT包含三部分,分別為: Header,Payload,Signature,之間用”.”分隔,所以一般形式為xxx.yyy.zzz。
header
一般包含兩部分, typ指定了類型,固定為”JWT”,alg指定了簽名演算法, 比如HMAC SHA256 or RSA。
payload
定義了用戶數據,有定義好的知名的 欄位 ,也可以自定義欄位
payload需要使用Base64Url 加密後,作為JWT的第二部分
Signature
簽名這一步需要四個條件:Base64Url 加密後的header,Base64Url 加密後的paload,secret(可以是密碼,也可以是RSA的私鑰)和header中指定的加密演算法。比如使用 RSASHA256 演算法計算簽名的公式如下:
上面公式執行時,大概分為兩步:
最後將這三部分(都要經過base64加密)使用”.”結合起來就是最終的token
上面只是簡述原理和流程,這裡實踐如何生成JWT,如何驗證JWT。
有兩種方法來生成/驗證JWT
a. 使用 jwt.io 官方提供的 圖形界面
b. 使用第三方庫,比如python中的jwt (pip install python-jwt 通過此命令安裝)
生成JWT
在右側的decoded下面的三個框分別填寫header,payload和VERIFY SIGNATURE中的private key(對於k8s來說,私鑰就是/etc/kubernetes/pkt/sa.key),最上面的Algorithm選擇簽名演算法,這裡選擇rs256. 會自動在左側的encoded框顯示出生成的JWT,如下圖
解密JWT
把JWT填寫到左側的encoded中,系統會自動識別出header和payload,因為他倆是base64加密的,直接解密即可,但是簽名部分需要提供公鑰才能進行驗證,否則encoded框下面會顯示紅色的”Invalid Signature”,只要把公鑰(對於k8s來說,公鑰就是/etc/kubernetes/pkt/sa.pub),填寫到右側decoded下面的VERIFY SIGNATURE框的public key處即可驗證,如下圖
沒填寫公鑰時
填寫正確的公鑰後
如下是python腳本,使用jwt庫生成JWT,並驗證JWT
使用python3執行腳本(為什麼使用python3?原因在下面),查看結果
使用python庫時有兩點需要注意
下面內容是python調試內容,可忽略。
sha256生成的hash值
(Pdb) p data
b’\x9e ,\x86\xd2g74\xed\xdbo\x14\xaa\x02b\xd6\x01a\xa6\xde\xfb\x82\xd0,\xe0\x14\xde\x82\xbe\xde\xed\x97′
(Pdb) len(data)
32
(Pdb) print(data.hex())
9e2a2c86d2673734eddb6f14aa0262d60161a6defb82d02ce014de82bedeed97
(Pdb) print(data)
b’\x9e ,\x86\xd2g74\xed\xdbo\x14\xaa\x02b\xd6\x01a\xa6\xde\xfb\x82\xd0,\xe0\x14\xde\x82\xbe\xde\xed\x97′
/usr/lib/python3/dist-packages/jwt/api_jws.py
alg_obj = self._algorithms[algorithm]
key = alg_obj.prepare_key(key)
signature = alg_obj.sign(signing_input, key)
js代碼 這個jwt用python怎麼實現.求解答
使用的是JWT,Go實現的,研究了一整天,這段代碼幫…將python項目重構為java項目,過程中遇到了這個知識點…React+Nodejs+MySQL全棧開發入門 vue項目中…
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/276115.html
微信掃一掃 
支付寶掃一掃 