mirror
/
tiangolo.fastapi
mirror of https://github.com/tiangolo/fastapi
1
0
Fork 0
Code Issues Projects Releases Wiki Activity
Browse Source

🌐 Update Chinese translation for `docs/tutorial/security/oauth2-jwt.md` (#3846) 

Co-authored-by: Sebastián Ramírez <[email protected]>
pull/5570/head
jaystone776 2 years ago
committed by GitHub
parent
876ea7978f
commit
058cb6e88e
No known key found for this signature in database GPG Key ID: 4AEE18F83AFDEB23
1 changed files with 99 additions and 94 deletions
Whitespace
Show all changes Ignore whitespace when comparing lines Ignore changes in amount of whitespace Ignore changes in whitespace at EOL
Split View
Diff Options
Show Stats Download Patch File Download Diff File
  1. 193
      docs/zh/docs/tutorial/security/oauth2-jwt.md

193
docs/zh/docs/tutorial/security/oauth2-jwt.md
View File

@ -1,34 +1,34 @@
# 使用(哈希)密码和 JWT Bearer 令牌的 OAuth2
# OAuth2 实现密码哈希与 Bearer JWT 令牌验证
既然我们已经有了所有的安全流程,就让我们来使用 <abbr title="JSON Web Tokens">JWT</abbr> 令牌和安全哈希密码让应用程序真正地安全吧
至此,我们已经编写了所有安全流,本章学习如何使用 <abbr title="JSON Web Tokens">JWT</abbr> 令牌(Token)和安全密码哈希(Hash)实现真正的安全机制
你可以在应用程序中真正地使用这些代码,在数据库中保存密码哈希值,等等
本章的示例代码真正实现了在应用的数据库中保存哈希密码等功能
我们将从上一章结束的位置开始,然后对示例进行扩充
接下来,我们紧接上一章,继续完善安全机制
## 关于 JWT
## JWT 简介
JWT 表示 「JSON Web Tokens」
JWT 即**JSON 网络令牌**(JSON Web Tokens)
它是一个将 JSON 对象编码为密集且没有空格的长字符串的标准。字符串看起来像这样
JWT 是一种将 JSON 对象编码为没有空格,且难以理解的长字符串的标准。JWT 的内容如下所示
```
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
```
它没有被加密,因此任何人都可以从字符串内容中还原数据
JWT 字符串没有加密,任何人都能用它恢复原始信息
它经过了签名。因此,当你收到一个由你发出的令牌时,可以校验令牌是否真的由你发出
JWT 使用了签名机制。接受令牌时,可以用签名校验令牌
通过这种方式,你可以创建一个有效期为 1 周的令牌。然后当用户第二天使用令牌重新访问时,你知道该用户仍然处于登入状态。
使用 JWT 创建有效期为一周的令牌。第二天,用户持令牌再次访问时,仍为登录状态。
一周后令牌将会过期,用户将不会通过认证,必须再次登录才能获得一个新令牌。而且如果用户(或第三方)试图修改令牌以篡改过期时间,你将因为签名不匹配而能够发觉
令牌于一周后过期,届时,用户身份验证就会失败。只有再次登录,才能获得新的令牌。如果用户(或第三方)篡改令牌的过期时间,因为签名不匹配会导致身份验证失败
果你想上手体验 JWT 令牌并了解其工作方式,可访问 <a href="https://jwt.io/" class="external-link" target="_blank">https://jwt.io</a>
需深入了解 JWT 令牌,了解它的工作方式,请参阅 <a href="https://jwt.io/" class="external-link" target="_blank">https://jwt.io</a>
## 安装 `python-jose`
我们需要安装 `python-jose`在 Python 中生成和校验 JWT 令牌:
安装 `python-jose`在 Python 中生成和校验 JWT 令牌:
<div class="termy">
@ -40,38 +40,39 @@ $ pip install python-jose[cryptography]
</div>
<a href="https://github.com/mpdavis/python-jose" class="external-link" target="_blank">Python-jose</a> 需要一个额外的加密后端。
<a href="https://github.com/mpdavis/python-jose" class="external-link" target="_blank">Python-jose</a> 需要安装配套的加密后端。
这里我们使用的是推荐的后端<a href="https://cryptography.io/" class="external-link" target="_blank">pyca/cryptography</a>
本教程推荐的后端是<a href="https://cryptography.io/" class="external-link" target="_blank">pyca/cryptography</a>
!!! tip
本教程曾经使用过 <a href="https://pyjwt.readthedocs.io/" class="external-link" target="_blank">PyJWT</a>
!!! tip "提示"
但是后来更新为使用 Python-jose,因为它提供了 PyJWT 的所有功能,以及之后与其他工具进行集成时你可能需要的一些其他功能
本教程以前使用 <a href="https://pyjwt.readthedocs.io/" class="external-link" target="_blank">PyJWT</a>
## 哈希密码
但后来换成了 Python-jose,因为 Python-jose 支持 PyJWT 的所有功能,还支持与其它工具集成时可能会用到的一些其它功能。
「哈希」的意思是:将某些内容(在本例中为密码)转换为看起来像乱码的字节序列(只是一个字符串)。
## 密码哈希
每次你传入完全相同的内容(完全相同的密码)时,你都会得到完全相同的乱码
**哈希**是指把特定内容(本例中为密码)转换为乱码形式的字节序列(其实就是字符串)
但是你不能从乱码转换回密码。
每次传入完全相同的内容时(比如,完全相同的密码),返回的都是完全相同的乱码。
### 为什么使用哈希密码
但这个乱码无法转换回传入的密码。
如果你的数据库被盗,小偷将无法获得用户的明文密码,只能拿到哈希值。
### 为什么使用密码哈希
因此,小偷将无法尝试在另一个系统中使用这些相同的密码(由于许多用户在任何地方都使用相同的密码,因此这很危险)。
原因很简单,假如数据库被盗,窃贼无法获取用户的明文密码,得到的只是哈希值。
这样一来,窃贼就无法在其它应用中使用窃取的密码,要知道,很多用户在所有系统中都使用相同的密码,风险超大)。
## 安装 `passlib`
PassLib 是一个用于处理哈希密码的很棒的 Python 包。
Passlib 是处理密码哈希的 Python 包。
它支持许多安全哈希算法以及配合算法使用的实用程序
它支持很多安全哈希算法及配套工具
推荐的算法是 「Bcrypt」
本教程推荐的算法是 **Bcrypt**
因此,安装附带 Bcrypt 的 PassLib:
因此,请先安装附带 Bcrypt 的 PassLib:
<div class="termy">
@ -83,46 +84,49 @@ $ pip install passlib[bcrypt]
</div>
!!! tip
使用 `passlib`,你甚至可以将其配置为能够读取 Django,Flask 的安全扩展或许多其他工具创建的密码。
!!! tip "提示"
`passlib` 甚至可以读取 Django、Flask 的安全插件等工具创建的密码。
例如,把 Django 应用的数据共享给 FastAPI 应用的数据库。或利用同一个数据库,可以逐步把应用从 Django 迁移到 FastAPI。
因此,你将能够,举个例子,将数据库中来自 Django 应用的数据共享给一个 FastAPI 应用。或者使用同一数据库但逐渐将应用从 Django 迁移到 FastAPI。
并且,用户可以同时从 Django 应用或 FastAPI 应用登录
而你的用户将能够同时从 Django 应用或 FastAPI 应用登录。
## 密码哈希与校验
## 哈希并校验密码
`passlib` 导入所需工具。
`passlib` 导入我们需要的工具
创建用于密码哈希和身份校验的 PassLib **上下文**
创建一个 PassLib 「上下文」。这将用于哈希和校验密码。
!!! tip "提示"
!!! tip
PassLib 上下文还具有使用不同哈希算法的功能,包括仅允许用于校验的已弃用的旧算法等。
PassLib 上下文还支持使用不同哈希算法的功能,包括只能校验的已弃用旧算法等。
例如,你可以使用它来读取和校验由另一个系统(例如Django)生成的密码,但是使用其他算法例如 Bcrypt 生成新的密码哈希值
例如,用它读取和校验其它系统(如 Django)生成的密码,但要使用其它算法,如 Bcrypt,生成新的哈希密码
并同时兼容所有的这些功能
同时,这些功能都是兼容的
创建一个工具函数以哈希来自用户的密码。
接下来,创建三个工具函数,其中一个函数用于哈希用户的密码。
然后创建另一个工具函数,用于校验接收的密码是否与存储的哈希值匹配
第一个函数用于校验接收的密码是否匹配存储的哈希值
再创建另一个工具函数用于认证并返回用户。
第三个函数用于身份验证,并返回用户。
```Python hl_lines="7 48 55-56 59-60 69-75"
{!../../../docs_src/security/tutorial004.py!}
```
!!! note
如果你查看新的(伪)数据库 `fake_users_db`,你将看到哈希后的密码现在的样子:`"$2b$12$EixZaYVK1fsbw1ZfbX3OXePaWxn96p36WQoeG6Lruj3vjPGga31lW"`。
!!! note "笔记"
查看新的(伪)数据库 `fake_users_db`,就能看到哈希后的密码:`"$2b$12$EixZaYVK1fsbw1ZfbX3OXePaWxn96p36WQoeG6Lruj3vjPGga31lW"`。
## 处理 JWT 令牌
导入已安装的模块。
创建一个随机密钥,该密钥将用于 JWT 令牌进行签名。
创建用于 JWT 令牌签名的随机密钥
要生成一个安全的随机密钥,可使用以下命令
使用以下命令,生成安全的随机密钥
<div class="termy">
@ -134,15 +138,15 @@ $ openssl rand -hex 32
</div>
然后将输出复制到变量 「SECRET_KEY」 中(不要使用示例中的这个)
然后,把生成的密钥复制到变量**SECRET_KEY**,注意,不要使用本例所示的密钥
创建用于设定 JWT 令牌签名算法的变量 「ALGORITHM」,并将其设置`"HS256"`
创建指定 JWT 令牌签名算法的变量 **ALGORITHM**,本例中的值`"HS256"`
创建一个设置令牌过期时间的变量。
创建设置令牌过期时间的变量。
定义一个将在令牌端点中用于响应的 Pydantic 模型。
定义令牌端点响应的 Pydantic 模型。
创建一个生成新的访问令牌的工具函数。
创建生成新的访问令牌的工具函数。
```Python hl_lines="6 12-14 28-30 78-86"
{!../../../docs_src/security/tutorial004.py!}
@ -150,11 +154,11 @@ $ openssl rand -hex 32
## 更新依赖项
更新 `get_current_user` 以接收与之前相同的令牌,但这次使用的是 JWT 令牌。
更新 `get_current_user` 以接收与之前相同的令牌,但这用的是 JWT 令牌。
解码接收到的令牌,对其进行校验,然后返回当前用户。
解码并校验接收到的令牌,然后返回当前用户。
如果令牌无效,立即返回一个 HTTP 错误。
如果令牌无效,则直接返回 HTTP 错误。
```Python hl_lines="89-106"
{!../../../docs_src/security/tutorial004.py!}
@ -162,57 +166,57 @@ $ openssl rand -hex 32
## 更新 `/token` *路径操作*
使用令牌过期时间创建一个 `timedelta` 对象。
用令牌过期时间创建 `timedelta` 对象。
创建一个真实的 JWT 访问令牌并返回它
创建并返回真正的 JWT 访问令牌
```Python hl_lines="115-128"
{!../../../docs_src/security/tutorial004.py!}
```
### 关于 JWT 「主题」 `sub` 的技术细节
### JWT `sub` 的技术细节
JWT 的规范中提到有一个 `sub` 键,值为该令牌的主题。
JWT 规范还包括 `sub` 键,值是令牌的主题。
使用它并不是必须的,但这是你放置用户标识的地方,所以我们在示例中使用了它
该键是可选的,但要把用户标识放在这个键里,所以本例使用了该键
除了识别用户并允许他们直接在你的 API 上执行操作之外,JWT 还可以用于其他事情。
除了识别用户与许可用户在 API 上直接执行操作之外,JWT 还可能用于其它事情。
例如,你可以识别一个 「汽车」 或 「博客文章」
例如,识别**汽车**或**博客**
然后你可以添加关于该实体的权限,比如「驾驶」(汽车)或「编辑」(博客)。
接着,为实体添加权限,比如**驾驶**(汽车)或**编辑**(博客)。
然后,你可以将 JWT 令牌交给用户(或机器人),他们可以使用它来执行这些操作(驾驶汽车,或编辑博客文章),甚至不需要有一个账户,只需使用你的 API 为其生成的 JWT 令牌
然后,把 JWT 令牌交给用户(或机器人),他们就可以执行驾驶汽车,或编辑博客等操作。无需注册账户,只要有 API 生成的 JWT 令牌就可以
使用这样的思路,JWT 可以用于更复杂的场景。
同理,JWT 可以用于更复杂的场景。
在这些情况下,几个实体可能有相同的 ID,比如说 `foo`(一个用户 `foo`,一辆车 `foo`,一篇博客文章 `foo`
在这些情况下,多个实体的 ID 可能是相同的,以 ID `foo` 为例,用户的 ID 是 `foo`,车的 ID 是 `foo`,博客的 ID 也是 `foo`
因此,为了避免 ID 冲突,当为用户创建 JWT 令牌时,你可以在 `sub` 键的值前加上前缀,例如 `username:`。所以,在这个例子中,`sub` 的值可以是:`username:johndoe`。
为了避免 ID 冲突,在给用户创建 JWT 令牌时,可以为 `sub` 键的值加上前缀,例如 `username:`。因此,在本例中,`sub` 的值可以是:`username:johndoe`。
要记住的重点是,`sub` 键在整个应用程序中应该有一个唯一的标识符,而且应该是一个字符串。
注意,划重点,`sub` 键在整个应用中应该只有一个唯一的标识符,而且应该是字符串。
## 检查效果
## 检查
运行服务器并访问文档: <a href="http://127.0.0.1:8000/docs" class="external-link" target="_blank">http://127.0.0.1:8000/docs</a>
你会看到如下用户界面:
可以看到如下用户界面:
<img src="https://fastapi.tiangolo.com/img/tutorial/security/image07.png">
像以前一样对应用程序进行认证
用与上一章同样的方式实现应用授权
使用如下凭证:
用户名: `johndoe`
密码: `secret`
用户名: `johndoe` 密码: `secret`
!!! check "检查"
!!! check
请注意,代码中没有任何地方记录了明文密码 「`secret`」,我们只保存了其哈希值。
注意,代码中没有明文密码**`secret`**,只保存了它的哈希值。
<img src="https://fastapi.tiangolo.com/img/tutorial/security/image08.png">
访问 `/users/me/` 端点,你将获得如下响应:
调用 `/users/me/` 端点,收到下面的响应:
```JSON
{
@ -225,41 +229,42 @@ JWT 的规范中提到有一个 `sub` 键,值为该令牌的主题。
<img src="https://fastapi.tiangolo.com/img/tutorial/security/image09.png">
如果你打开开发者工具,将看到数据是如何发送的并且其中仅包含了令牌,只有在第一个请求中发送了密码以校验用户身份并获取该访问令牌,但之后都不会再发送密码:
打开浏览器的开发者工具,查看数据是怎么发送的,而且数据里只包含了令牌,只有验证用户的第一个请求才发送密码,并获取访问令牌,但之后不会再发送密码:
<img src="https://fastapi.tiangolo.com/img/tutorial/security/image10.png">
!!! note
注意请求中的 `Authorization` 首部,其值以 `Bearer` 开头。
!!! note "笔记"
注意,请求中 `Authorization` 响应头的值以 `Bearer` 开头。
## 使用 `scopes` 的进阶用法
## `scopes` 高级用法
OAuth2 具有「作用域」的概念
OAuth2 支持**`scopes`**(作用域)
你可以使用它们向 JWT 令牌添加一组特定的权限。
**`scopes`**为 JWT 令牌添加指定权限。
然后,你可以将此令牌直接提供给用户或第三方,使其在一些限制下与你的 API 进行交互。
让持有令牌的用户或第三方在指定限制条件下与 API 交互。
你可以在之后的**进阶用户指南**中了解如何使用它们以及如何将它们集成到 **FastAPI**
**高级用户指南**中将介绍如何使用 `scopes`,及如何把 `scopes` 集成至 **FastAPI**
##
##
通过目前你所看到的,你可以使用像 OAuth2 和 JWT 这样的标准来构建一个安全的 **FastAPI** 应用程序
至此,您可以使用 OAuth2 和 JWT 等标准配置安全的 **FastAPI** 应用。
在几乎所有的框架中,处理安全性问题都很容易成为一个相当复杂的话题
几乎在所有框架中,处理安全问题很快都会变得非常复杂
许多高度简化了安全流程的软件包不得不在数据模型、数据库和可用功能上做出很多妥协。而这些过于简化流程的软件包中,有些其实隐含了安全漏洞
有些包为了简化安全流,不得不在数据模型、数据库和功能上做出妥协。而有些过于简化的软件包其实存在了安全隐患
---
**FastAPI** 不对任何数据库、数据模型或工具做任何妥协。
**FastAPI** 不向任何数据库、数据模型或工具做妥协。
它给了你所有的灵活性来选择最适合你项目的前者
开发者可以灵活选择最适合项目的安全机制
你可以直接使用许多维护良好且使用广泛的包,如 `passlib``python-jose`,因为 **FastAPI** 不需要任何复杂的机制来集成外部包。
还可以直接使用 `passlib``python-jose` 等维护良好、使用广泛的包这是因为 **FastAPI** 不需要任何复杂机制,就能集成外部的包。
但它为你提供了一些工具,在不影响灵活性、健壮性和安全性的前提下,尽可能地简化这个过程
而且,**FastAPI** 还提供了一些工具,在不影响灵活、稳定和安全的前提下,尽可能地简化安全机制
而且你可以用相对简单的方式使用和实现安全、标准的协议,比如 OAuth2
**FastAPI** 还支持以相对简单的方式,使用 OAuth2 等安全、标准的协议
你可以在**进阶用户指南**中了解更多关于如何使用 OAuth2 「作用域」的信息,以实现更精细的权限系统,并同样遵循这些标准。带有作用域的 OAuth2 是很多大的认证提供商使用的机制,比如 Facebook、Google、GitHub、微软、Twitter 等,授权第三方应用代表用户与他们的 API 进行交互。
**高级用户指南**中详细介绍了 OAuth2**`scopes`**的内容,遵循同样的标准,实现更精密的权限系统。OAuth2 的作用域是脸书、谷歌、GitHub、微软、推特等第三方身份验证应用使用的机制,让用户授权第三方应用与 API 交互。

Write Preview
Loading…
Cancel
Save