FastAPI认证系统：从零到令牌大师的奇幻之旅

title: FastAPI认证系统：从零到令牌大师的奇幻之旅
date: 2025/06/06 16:13:06
updated: 2025/06/06 16:13:06
author:  cmdragon
excerpt:
FastAPI认证系统的基础架构包括用户注册、登录认证、权限验证和令牌刷新机制。实现步骤涵盖环境准备、数据库模型定义、安全工具函数、路由实现及API端点保护。通过Swagger UI可测试注册、登录和受保护端点。常见报错如422验证错误和401未授权，可通过检查请求参数和令牌有效性解决。JWT令牌由Header、Payload和Signature组成，密码存储使用哈希函数确保安全性。
categories:

• 后端开发
  
• FastAPI
  

tags:

• FastAPI
  
• 认证系统
  
• JWT
  
• 用户注册
  
• 权限验证
  
• Swagger UI
  
• 安全工具函数
  

扫描二维码
关注或者微信搜一搜：编程智域 前端至全栈交流与成长
探索数千个预构建的 AI 应用，开启你的下一个伟大创意：https://tools.cmdragon.cn/
第一章：构建FastAPI完整认证系统

1. 认证系统基础架构

现代Web应用的认证系统通常包含以下核心组件：

• 用户注册模块（处理密码哈希存储）
  
• 登录认证流程（JWT令牌颁发）
  
• 权限验证中间件（保护API端点）
  
• 令牌刷新机制（维护会话有效性）
  

认证流程示意图：
客户端 → 注册 → 登录获取令牌 → 携带令牌访问API → 服务端验证令牌 → 返回资源
2. 完整实现步骤

2.1 环境准备

安装所需依赖（推荐使用虚拟环境）：

1. pip install fastapi==0.78.0 uvicorn==0.18.2 python-jose[cryptography]==3.3.0 passlib[bcrypt]==1.7.4 python-multipart==0.0.5

复制代码

2.2 数据库模型定义

1. from pydantic import BaseModel, EmailStr
2. from typing import Optional
5. class UserCreate(BaseModel):
6.     email: EmailStr
7.     password: str
10. class UserInDB(UserCreate):
11.     hashed_password: str
14. class Token(BaseModel):
15.     access_token: str
16.     token_type: str
19. class TokenData(BaseModel):
20.     email: Optional[EmailStr] = None

复制代码

2.3 安全工具函数

1. from datetime import datetime, timedelta
2. from jose import JWTError, jwt
3. from passlib.context import CryptContext
5. SECRET_KEY = "your-secret-key-here"
6. ALGORITHM = "HS256"
7. ACCESS_TOKEN_EXPIRE_MINUTES = 30
9. pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")
12. def verify_password(plain_password: str, hashed_password: str):
13.     return pwd_context.verify(plain_password, hashed_password)
16. def get_password_hash(password: str):
17.     return pwd_context.hash(password)
20. def create_access_token(data: dict):
21.     to_encode = data.copy()
22.     expire = datetime.utcnow() + timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
23.     to_encode.update({"exp": expire})
24.     return jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)

复制代码

2.4 路由实现

1. from fastapi import APIRouter, Depends, HTTPException, status
2. from fastapi.security import OAuth2PasswordRequestForm
4. router = APIRouter()
6. # 模拟数据库
7. fake_users_db = {}
10. @router.post("/register", response_model=UserInDB)
11. async def register(user: UserCreate):
12.     if user.email in fake_users_db:
13.         raise HTTPException(status_code=400, detail="Email already registered")
15.     hashed_password = get_password_hash(user.password)
16.     user_db = UserInDB(**user.dict(), hashed_password=hashed_password)
17.     fake_users_db[user.email] = user_db.dict()
18.     return user_db
21. @router.post("/login", response_model=Token)
22. async def login(form_data: OAuth2PasswordRequestForm = Depends()):
23.     user_data = fake_users_db.get(form_data.username)
24.     if not user_data or not verify_password(form_data.password, user_data["hashed_password"]):
25.         raise HTTPException(
26.             status_code=status.HTTP_401_UNAUTHORIZED,
27.             detail="Invalid credentials",
28.             headers={"WWW-Authenticate": "Bearer"},
29.         )
31.     access_token = create_access_token(data={"sub": user_data["email"]})
32.     return {"access_token": access_token, "token_type": "bearer"}

复制代码

2.5 保护API端点

1. from fastapi.security import OAuth2PasswordBearer
3. oauth2_scheme = OAuth2PasswordBearer(tokenUrl="login")
6. async def get_current_user(token: str = Depends(oauth2_scheme)):
7.     credentials_exception = HTTPException(
8.         status_code=status.HTTP_401_UNAUTHORIZED,
9.         detail="Could not validate credentials",
10.         headers={"WWW-Authenticate": "Bearer"},
11.     )
12.     try:
13.         payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
14.         email: str = payload.get("sub")
15.         if email is None:
16.             raise credentials_exception
17.     except JWTError:
18.         raise credentials_exception
20.     user = fake_users_db.get(email)
21.     if user is None:
22.         raise credentials_exception
23.     return user
26. @router.get("/protected")
27. async def protected_endpoint(current_user: UserInDB = Depends(get_current_user)):
28.     return {
29.         "message": f"Hello {current_user['email']}",
30.         "protected_data": "Sensitive information here"
31.     }

复制代码

3. 使用Swagger UI测试

3.1 启动应用

创建main.py：

1. from fastapi import FastAPI
3. app = FastAPI()
4. app.include_router(router, prefix="/api")
6. if __name__ == "__main__":
7.     import uvicorn
9.     uvicorn.run(app, host="0.0.0.0", port=8000)

复制代码

3.2 测试流程

• 访问 http://localhost:8000/docs
  
• 测试注册接口：
  
  
  
  • 请求体：
    
  
  
• 测试登录接口获取令牌
  
• 点击"Authorize"按钮，输入获取的JWT令牌
  
• 测试/protected端点
  

成功响应示例：

1. {
2.   "message": "Hello user@example.com",
3.   "protected_data": "Sensitive information here"
4. }

复制代码

4. 常见报错解决方案

4.1 422 Validation Error

现象：请求参数不符合验证规则
解决方案：

• 检查请求体是否符合定义的Pydantic模型
  
• 验证email格式是否正确（必须包含@符号）
  
• 确保密码字段存在且长度合适
  

4.2 401 Unauthorized

原因：

• 缺失Authorization头
  
• 令牌过期
  
• 无效的签名
  处理步骤：
  

• 检查请求头是否包含Authorization: Bearer
  
• 重新获取有效令牌
  
• 验证密钥和算法是否匹配
  

课后Quiz

Q1：为什么在用户注册时要存储密码哈希而不是明文？
A：防止数据库泄露导致用户密码暴露，哈希函数不可逆，提高系统安全性
Q2：JWT令牌包含哪三个主要组成部分？
A：Header（元数据）、Payload（有效载荷）、Signature（签名验证）
Q3：如何实现自动刷新令牌？
A：可以通过以下两种方式实现：

• 在令牌payload中添加refresh_token字段
  
• 单独提供/refresh端点，使用长期有效的刷新令牌获取新的访问令牌
  

Q4：访问/protected端点时出现403错误可能是什么原因？
A：可能原因包括：

• 令牌已过期（超过30分钟）
  
• 令牌签名与服务端密钥不匹配
  
• 令牌中的用户信息不存在于数据库
  

余下文章内容请点击跳转至 个人博客页面 或者 扫码关注或者微信搜一搜：编程智域 前端至全栈交流与成长，阅读完整的文章：FastAPI认证系统：从零到令牌大师的奇幻之旅 | cmdragon's Blog
往期文章归档：

• FastAPI安全异常处理：从401到422的奇妙冒险 | cmdragon's Blog
  
• FastAPI权限迷宫：RBAC与多层级依赖的魔法通关秘籍 | cmdragon's Blog
  
• JWT令牌：从身份证到代码防伪的奇妙之旅 | cmdragon's Blog
  
• FastAPI安全认证：从密码到令牌的魔法之旅 | cmdragon's Blog
  
• 密码哈希：Bcrypt的魔法与盐值的秘密 | cmdragon's Blog
  
• 用户认证的魔法配方：从模型设计到密码安全的奇幻之旅 | cmdragon's Blog
  
• FastAPI安全门神：OAuth2PasswordBearer的奇妙冒险 | cmdragon's Blog
  
• OAuth2密码模式：信任的甜蜜陷阱与安全指南 | cmdragon's Blog
  
• API安全大揭秘：认证与授权的双面舞会 | cmdragon's Blog
  
• 异步日志监控：FastAPI与MongoDB的高效整合之道 | cmdragon's Blog
  
• FastAPI与MongoDB分片集群：异步数据路由与聚合优化 | cmdragon's Blog
  
• FastAPI与MongoDB Change Stream的实时数据交响曲 | cmdragon's Blog
  
• 地理空间索引：解锁日志分析中的位置智慧 | cmdragon's Blog
  
• 异步之舞：FastAPI与MongoDB的极致性能优化之旅 | cmdragon's Blog
  
• 异步日志分析：MongoDB与FastAPI的高效存储揭秘 | cmdragon's Blog
  
• MongoDB索引优化的艺术：从基础原理到性能调优实战 | cmdragon's Blog
  
• 解锁FastAPI与MongoDB聚合管道的性能奥秘 | cmdragon's Blog
  
• 异步之舞：Motor驱动与MongoDB的CRUD交响曲 | cmdragon's Blog
  
• 异步之舞：FastAPI与MongoDB的深度协奏 | cmdragon's Blog
  
• 数据库迁移的艺术：FastAPI生产环境中的灰度发布与回滚策略 | cmdragon's Blog
  
• 数据库迁移的艺术：团队协作中的冲突预防与解决之道 | cmdragon's Blog
  
• 驾驭FastAPI多数据库：从读写分离到跨库事务的艺术 | cmdragon's Blog
  
• 数据库事务隔离与Alembic数据恢复的实战艺术 | cmdragon's Blog
  
• FastAPI与Alembic：数据库迁移的隐秘艺术 | cmdragon's Blog
  
• 飞行中的引擎更换：生产环境数据库迁移的艺术与科学 | cmdragon's Blog
  
• Alembic迁移脚本冲突的智能检测与优雅合并之道 | cmdragon's Blog
  
• 多数据库迁移的艺术：Alembic在复杂环境中的精妙应用 | cmdragon's Blog
  
• 数据库事务回滚：FastAPI中的存档与读档大法 | cmdragon's Blog
  
• Alembic迁移脚本：让数据库变身时间旅行者 | cmdragon's Blog
  
• 数据库连接池：从银行柜台到代码世界的奇妙旅程 | cmdragon's Blog
  
• 点赞背后的技术大冒险：分布式事务与SAGA模式 | cmdragon's Blog
  
• N+1查询：数据库性能的隐形杀手与终极拯救指南 | cmdragon's Blog
  
• FastAPI与Tortoise-ORM开发的神奇之旅 | cmdragon's Blog
  
• DDD分层设计与异步职责划分：让你的代码不再“异步”混乱 | cmdragon's Blog
  
• 异步数据库事务锁：电商库存扣减的防超卖秘籍 | cmdragon's Blog
  
• XML Sitemap
  
• 
  

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！