pythonFastapiOAuth2中的password流

　　简单絮叨一些
　　前面一篇文章唠了依赖项，今天主要唠下安全性。
　　更多的就是身份认证或者授权等问题，一听这词就感觉很复杂，fastapi提供了专门处理安全性的工具
　　安全性
　　使用密码和Bearer的简单OAuth2
　　此处使用的是OAuth2中的password流
　　password流是OAuth2中定义的一种方式（流），用于处理安全和身份验证。
　　OAuth2指在使后端或API可以独立于对用户进行身份验证的服务器。
　　鉴于这个鬼玩意比较生疏，针对代码一段一段且一步一步的唠：fakeusersdb是定义了一个字典，就可以直接理解为是伪数据库，因为这些后期都是从数据库获取的fakeusersdb｛johndoe：｛username：johndoe，fullname：JohnDoe，email：johndoeexample。com，hashedpassword：fakehashedsecret，disabled：False，｝，alice：｛username：alice，fullname：AliceWonderson，email：aliceexample。com，hashedpassword：fakehashedsecret2，disabled：True，｝，｝这个就是new一个对象，不再多叙述appFastAPI（）fakehashpassword（password：str）：函数实际功能就是获取到字符串，然后进行拼接后再返回deffakehashpassword（password：str）：returnfakehashedpasswordoauth2schemeOAuth2PasswordBearer（tokenUrltoken）就是new一个对象。而OAuth2PasswordBearer类是继承OAuth2规范的密码流获取令牌oauth2schemeOAuth2PasswordBearer（tokenUrltoken）创建的模型，它是继承基类BaseModelclassUser（BaseModel）：username：stremail：Optional〔str〕Nonefullname：Optional〔str〕Nonedisabled：Optional〔bool〕None创建的模型，区别就是它继承的是User类classUserInDB（User）：hashedpassword：strgetuser（db，username：str）：函数的位置参数是，db是数据库，而username是指定用户的获取数据，实现功能就是，如果username在db中，就返回获取的数据信息，如果不在就直接返回None。单独运行下该函数：fakeusersdb｛johndoe：｛username：johndoe，fullname：JohnDoe，email：johndoeexample。com，hashedpassword：fakehashedsecret，disabled：False，｝，alice：｛username：alice，fullname：AliceWonderson，email：aliceexample。com，hashedpassword：fakehashedsecret2，disabled：True，｝，｝defgetuser（db，username：str）：ifusernameindb：userdictdb〔username〕returnUserInDB（userdict）print（getuser（fakeusersdb，johndoe））
　　运行结果E：venvPythonScriptspython。exeE：gitcodepythoncodefastapiProjectsafetymain。pyusernamejohndoeemailjohndoeexample。comfullnameJohnDoedisabledFalsehashedpasswordfakehashedsecretProcessfinishedwithexitcode0fakedecodetoken（token）：实际就是实现了调用getuser函数的操作deffakedecodetoken（token）：usergetuser（fakeusersdb，token）returnuserlogin接口：app。post（token）deflogin（formdata：OAuth2PasswordRequestFormDepends（））：userdictfakeusersdb。get（formdata。username）ifnotuserdict：raiseHTTPException（statuscode400，detail3333333）userUserInDB（userdict）hashedpasswordfakehashpassword（formdata。password）ifnothashedpassworduser。hashedpassword：raiseHTTPException（statuscode400，detail444444）return｛accesstoken：user。username，tokentype：bearer｝formdata：OAuth2PasswordRequestFormDepends（）声明依赖。因为OAuth2规范必须是请求表单，而OAuth2PasswordRequestForm是Fastapi提供的表单请求fakeusersdb。get（formdata。username）是根据表单传的username去到fakeusersdb字典中获取用户数据并赋值给userdictifnotuserdict：判断如果是空，则抛出异常UserInDB（userdict）是Pydantic提供的一个解包方法，解包成功后并赋值给user。例子如下：fromtypingimportOptionalfrompydanticimportBaseModelclassUser（BaseModel）：username：stremail：Optional〔str〕Nonefullname：Optional〔str〕Nonedisabled：Optional〔bool〕Nonehashedpassword：struserdict｛username：johndoe，fullname：JohnDoe，email：johndoeexample。com，hashedpassword：fakehashedsecret，disabled：False｝userUser（userdict）print（user）
　　运行结果E：venvPythonScriptspython。exeE：gitcodepythoncodefastapiProjecthashoauthmain。pyusernamejohndoeemailjohndoeexample。comfullnameJohnDoedisabledFalsehashedpasswordfakehashedsecretProcessfinishedwithexitcode0以userdict方式传给User，Python将对其进行解包。它会将userdict的键和值作为关键字参数直接传递。hashedpasswordfakehashpassword（formdata。password）获取到输入的密码，然后传给fakehashpassword函数，返回拼接的额密码ifnothashedpassworduser。hashedpassword：判断输入拼接的密码和fakeusersdb字典中指定用户的密码是否相等，如不相等就抛出异常return｛accesstoken：user。username，tokentype：bearer｝返回登录用户的信息
　　10。getcurrentuser（token：strDepends（oauth2scheme））：函数，先声明依赖，其功能是根据调用fakedecodetoken函数获取用户信息，判断如果user存在就返回信息，否则就抛出异常defgetcurrentuser（token：strDepends（oauth2scheme））：userfakedecodetoken（token）ifnotuser：raiseHTTPException（statuscodestatus。HTTP401UNAUTHORIZED，detail333333，headers｛WWWAuthenticate：Bearer｝，）returnuser
　　11。getcurrentactiveuser（currentuser：UserDepends（getcurrentuser））：函数，先声明依赖，其主要功能是如果currentuser中的disabled为True就抛出异常，为False就返回用户信息defgetcurrentactiveuser（currentuser：UserDepends（getcurrentuser））：ifcurrentuser。disabled：raiseHTTPException（statuscode400，detail33333）returncurrentuser
　　12。readitem接口：app。get（userme）defreaditem（current：UserDepends（getcurrentactiveuser））：returncurrentcurrent：UserDepends（getcurrentactiveuser）声明一个依赖，然后直接返回用户数据信息
　　代码汇总如下：importuvicornfromfastapiimportFastAPIfromfastapiimportDependsfrompydanticimportBaseModelfromtypingimportOptionalfromfastapiimportHTTPException，statusfromfastapi。securityimportOAuth2PasswordBearer，OAuth2PasswordRequestFormfakeusersdb｛johndoe：｛username：johndoe，fullname：JohnDoe，email：johndoeexample。com，hashedpassword：fakehashedsecret，disabled：False，｝，alice：｛username：alice，fullname：AliceWonderson，email：aliceexample。com，hashedpassword：fakehashedsecret2，disabled：True，｝，｝appFastAPI（）deffakehashpassword（password：str）：returnfakehashedpasswordoauth2schemeOAuth2PasswordBearer（tokenUrltoken）classUser（BaseModel）：username：stremail：Optional〔str〕Nonefullname：Optional〔str〕Nonedisabled：Optional〔bool〕NoneclassUserInDB（User）：hashedpassword：strdefgetuser（db，username：str）：ifusernameindb：userdictdb〔username〕returnUserInDB（userdict）deffakedecodetoken（token）：usergetuser（fakeusersdb，token）returnuserdefgetcurrentuser（token：strDepends（oauth2scheme））：userfakedecodetoken（token）ifnotuser：raiseHTTPException（statuscodestatus。HTTP401UNAUTHORIZED，detail333333，headers｛WWWAuthenticate：Bearer｝，）returnuserdefgetcurrentactiveuser（currentuser：UserDepends（getcurrentuser））：ifcurrentuser。disabled：raiseHTTPException（statuscode400，detail33333）returncurrentuserapp。post（token）deflogin（formdata：OAuth2PasswordRequestFormDepends（））：userdictfakeusersdb。get（formdata。username）ifnotuserdict：raiseHTTPException（statuscode400，detail3333333）userUserInDB（userdict）hashedpasswordfakehashpassword（formdata。password）ifnothashedpassworduser。hashedpassword：raiseHTTPException（statuscode400，detail444444）return｛accesstoken：user。username，tokentype：bearer｝app。get（userme）defreaditem（current：UserDepends（getcurrentactiveuser））：returncurrentifnamemain：uvicorn。run（appsafetymain：app，reloadTrue，debugTrue）
　　运行结果截图
　　截图
　　以上只是初略解读了使用密码获取令牌，后续还有一个使用哈希值的加密，靠着仅有的知识储备，如解读的有问题，还请私信留言，会及时探讨，谢谢！
　　今天先聊到这里吧，以上总结或许能帮助到你，或许帮助不到你，但还是希望能帮助到你，如有疑问、歧义，直接私信留言会及时修正发布；非常期待你的一键3连【点赞、收藏、分享】哟，谢谢！
　　未完成，待续
　　一直在努力，希望你也是！
　　微信搜索公众号：就用python