Nils Lindemann
1 year ago
committed by
GitHub
GitHub
1 changed files with 101 additions and 0 deletions
@ -0,0 +1,101 @@ |
|||||
|
# Sicherheit |
||||
|
|
||||
|
Es gibt viele Wege, Sicherheit, Authentifizierung und Autorisierung zu handhaben. |
||||
|
|
||||
|
Und normalerweise ist es ein komplexes und „schwieriges“ Thema. |
||||
|
|
||||
|
In vielen Frameworks und Systemen erfordert allein die Handhabung von Sicherheit und Authentifizierung viel Aufwand und Code (in vielen Fällen kann er 50 % oder mehr des gesamten geschriebenen Codes ausmachen). |
||||
|
|
||||
|
**FastAPI** bietet mehrere Tools, die Ihnen helfen, schnell und auf standardisierte Weise mit **Sicherheit** umzugehen, ohne alle Sicherheits-Spezifikationen studieren und erlernen zu müssen. |
||||
|
|
||||
|
Aber schauen wir uns zunächst ein paar kleine Konzepte an. |
||||
|
|
||||
|
## In Eile? |
||||
|
|
||||
|
Wenn Ihnen diese Begriffe egal sind und Sie einfach *jetzt* Sicherheit mit Authentifizierung basierend auf Benutzername und Passwort hinzufügen müssen, fahren Sie mit den nächsten Kapiteln fort. |
||||
|
|
||||
|
## OAuth2 |
||||
|
|
||||
|
OAuth2 ist eine Spezifikation, die verschiedene Möglichkeiten zur Handhabung von Authentifizierung und Autorisierung definiert. |
||||
|
|
||||
|
Es handelt sich um eine recht umfangreiche Spezifikation, und sie deckt mehrere komplexe Anwendungsfälle ab. |
||||
|
|
||||
|
Sie umfasst Möglichkeiten zur Authentifizierung mithilfe eines „Dritten“ („third party“). |
||||
|
|
||||
|
Das ist es, was alle diese „Login mit Facebook, Google, Twitter, GitHub“-Systeme unter der Haube verwenden. |
||||
|
|
||||
|
### OAuth 1 |
||||
|
|
||||
|
Es gab ein OAuth 1, das sich stark von OAuth2 unterscheidet und komplexer ist, da es direkte Spezifikationen enthält, wie die Kommunikation verschlüsselt wird. |
||||
|
|
||||
|
Heutzutage ist es nicht sehr populär und wird kaum verwendet. |
||||
|
|
||||
|
OAuth2 spezifiziert nicht, wie die Kommunikation verschlüsselt werden soll, sondern erwartet, dass Ihre Anwendung mit HTTPS bereitgestellt wird. |
||||
|
|
||||
|
!!! tip "Tipp" |
||||
|
Im Abschnitt über **Deployment** erfahren Sie, wie Sie HTTPS mithilfe von Traefik und Let's Encrypt kostenlos einrichten. |
||||
|
|
||||
|
|
||||
|
## OpenID Connect |
||||
|
|
||||
|
OpenID Connect ist eine weitere Spezifikation, die auf **OAuth2** basiert. |
||||
|
|
||||
|
Sie erweitert lediglich OAuth2, indem sie einige Dinge spezifiziert, die in OAuth2 relativ mehrdeutig sind, um zu versuchen, es interoperabler zu machen. |
||||
|
|
||||
|
Beispielsweise verwendet der Google Login OpenID Connect (welches seinerseits OAuth2 verwendet). |
||||
|
|
||||
|
Aber der Facebook Login unterstützt OpenID Connect nicht. Es hat seine eigene Variante von OAuth2. |
||||
|
|
||||
|
### OpenID (nicht „OpenID Connect“) |
||||
|
|
||||
|
Es gab auch eine „OpenID“-Spezifikation. Sie versuchte das Gleiche zu lösen wie **OpenID Connect**, basierte aber nicht auf OAuth2. |
||||
|
|
||||
|
Es handelte sich also um ein komplett zusätzliches System. |
||||
|
|
||||
|
Heutzutage ist es nicht sehr populär und wird kaum verwendet. |
||||
|
|
||||
|
## OpenAPI |
||||
|
|
||||
|
OpenAPI (früher bekannt als Swagger) ist die offene Spezifikation zum Erstellen von APIs (jetzt Teil der Linux Foundation). |
||||
|
|
||||
|
**FastAPI** basiert auf **OpenAPI**. |
||||
|
|
||||
|
Das ist es, was erlaubt, mehrere automatische interaktive Dokumentations-Oberflächen, Codegenerierung, usw. zu haben. |
||||
|
|
||||
|
OpenAPI bietet die Möglichkeit, mehrere Sicherheits„systeme“ zu definieren. |
||||
|
|
||||
|
Durch deren Verwendung können Sie alle diese Standards-basierten Tools nutzen, einschließlich dieser interaktiven Dokumentationssysteme. |
||||
|
|
||||
|
OpenAPI definiert die folgenden Sicherheitsschemas: |
||||
|
|
||||
|
* `apiKey`: ein anwendungsspezifischer Schlüssel, der stammen kann von: |
||||
|
* Einem Query-Parameter. |
||||
|
* Einem Header. |
||||
|
* Einem Cookie. |
||||
|
* `http`: Standard-HTTP-Authentifizierungssysteme, einschließlich: |
||||
|
* `bearer`: ein Header `Authorization` mit dem Wert `Bearer` plus einem Token. Dies wird von OAuth2 geerbt. |
||||
|
* HTTP Basic Authentication. |
||||
|
* HTTP Digest, usw. |
||||
|
* `oauth2`: Alle OAuth2-Methoden zum Umgang mit Sicherheit (genannt „Flows“). |
||||
|
* Mehrere dieser Flows eignen sich zum Aufbau eines OAuth 2.0-Authentifizierungsanbieters (wie Google, Facebook, Twitter, GitHub usw.): |
||||
|
* `implicit` |
||||
|
* `clientCredentials` |
||||
|
* `authorizationCode` |
||||
|
* Es gibt jedoch einen bestimmten „Flow“, der perfekt für die direkte Abwicklung der Authentifizierung in derselben Anwendung verwendet werden kann: |
||||
|
* `password`: Einige der nächsten Kapitel werden Beispiele dafür behandeln. |
||||
|
* `openIdConnect`: bietet eine Möglichkeit, zu definieren, wie OAuth2-Authentifizierungsdaten automatisch ermittelt werden können. |
||||
|
* Diese automatische Erkennung ist es, die in der OpenID Connect Spezifikation definiert ist. |
||||
|
|
||||
|
|
||||
|
!!! tip "Tipp" |
||||
|
Auch die Integration anderer Authentifizierungs-/Autorisierungsanbieter wie Google, Facebook, Twitter, GitHub, usw. ist möglich und relativ einfach. |
||||
|
|
||||
|
Das komplexeste Problem besteht darin, einen Authentifizierungs-/Autorisierungsanbieter wie solche aufzubauen, aber **FastAPI** reicht Ihnen die Tools, das einfach zu erledigen, während Ihnen die schwere Arbeit abgenommen wird. |
||||
|
|
||||
|
## **FastAPI** Tools |
||||
|
|
||||
|
FastAPI stellt für jedes dieser Sicherheitsschemas im Modul `fastapi.security` verschiedene Tools bereit, die die Verwendung dieser Sicherheitsmechanismen vereinfachen. |
||||
|
|
||||
|
In den nächsten Kapiteln erfahren Sie, wie Sie mit diesen von **FastAPI** bereitgestellten Tools Sicherheit zu Ihrer API hinzufügen. |
||||
|
|
||||
|
Und Sie werden auch sehen, wie dies automatisch in das interaktive Dokumentationssystem integriert wird. |
||||
Loading…
Reference in new issue