Nils Lindemann
1 year ago
committed by
GitHub
GitHub
1 changed files with 233 additions and 0 deletions
@ -0,0 +1,233 @@ |
|||
# Sicherheit – Erste Schritte |
|||
|
|||
Stellen wir uns vor, dass Sie Ihre **Backend**-API auf einer Domain haben. |
|||
|
|||
Und Sie haben ein **Frontend** auf einer anderen Domain oder in einem anderen Pfad derselben Domain (oder in einer mobilen Anwendung). |
|||
|
|||
Und Sie möchten eine Möglichkeit haben, dass sich das Frontend mithilfe eines **Benutzernamens** und eines **Passworts** beim Backend authentisieren kann. |
|||
|
|||
Wir können **OAuth2** verwenden, um das mit **FastAPI** zu erstellen. |
|||
|
|||
Aber ersparen wir Ihnen die Zeit, die gesamte lange Spezifikation zu lesen, nur um die kleinen Informationen zu finden, die Sie benötigen. |
|||
|
|||
Lassen Sie uns die von **FastAPI** bereitgestellten Tools verwenden, um Sicherheit zu gewährleisten. |
|||
|
|||
## Wie es aussieht |
|||
|
|||
Lassen Sie uns zunächst einfach den Code verwenden und sehen, wie er funktioniert, und dann kommen wir zurück, um zu verstehen, was passiert. |
|||
|
|||
## `main.py` erstellen |
|||
|
|||
Kopieren Sie das Beispiel in eine Datei `main.py`: |
|||
|
|||
=== "Python 3.9+" |
|||
|
|||
```Python |
|||
{!> ../../../docs_src/security/tutorial001_an_py39.py!} |
|||
``` |
|||
|
|||
=== "Python 3.8+" |
|||
|
|||
```Python |
|||
{!> ../../../docs_src/security/tutorial001_an.py!} |
|||
``` |
|||
|
|||
=== "Python 3.8+ nicht annotiert" |
|||
|
|||
!!! tip "Tipp" |
|||
Bevorzugen Sie die `Annotated`-Version, falls möglich. |
|||
|
|||
```Python |
|||
{!> ../../../docs_src/security/tutorial001.py!} |
|||
``` |
|||
|
|||
## Ausführen |
|||
|
|||
!!! info |
|||
Um hochgeladene Dateien zu empfangen, installieren Sie zuerst <a href="https://andrew-d.github.io/python-multipart/" class="external-link" target="_blank">`python-multipart`</a>. |
|||
|
|||
Z. B. `pip install python-multipart`. |
|||
|
|||
Das, weil **OAuth2** „Formulardaten“ zum Senden von `username` und `password` verwendet. |
|||
|
|||
Führen Sie das Beispiel aus mit: |
|||
|
|||
<div class="termy"> |
|||
|
|||
```console |
|||
$ uvicorn main:app --reload |
|||
|
|||
<span style="color: green;">INFO</span>: Uvicorn running on http://127.0.0.1:8000 (Press CTRL+C to quit) |
|||
``` |
|||
|
|||
</div> |
|||
|
|||
## Überprüfen |
|||
|
|||
Gehen Sie zu der interaktiven Dokumentation unter: <a href="http://127.0.0.1:8000/docs" class="external-link" target="_blank">http://127.0.0.1:8000/docs</a>. |
|||
|
|||
Sie werden etwa Folgendes sehen: |
|||
|
|||
<img src="/img/tutorial/security/image01.png"> |
|||
|
|||
!!! check "Authorize-Button!" |
|||
Sie haben bereits einen glänzenden, neuen „Authorize“-Button. |
|||
|
|||
Und Ihre *Pfadoperation* hat in der oberen rechten Ecke ein kleines Schloss, auf das Sie klicken können. |
|||
|
|||
Und wenn Sie darauf klicken, erhalten Sie ein kleines Anmeldeformular zur Eingabe eines `username` und `password` (und anderer optionaler Felder): |
|||
|
|||
<img src="/img/tutorial/security/image02.png"> |
|||
|
|||
!!! note "Hinweis" |
|||
Es spielt keine Rolle, was Sie in das Formular eingeben, es wird noch nicht funktionieren. Wir kommen dahin. |
|||
|
|||
Dies ist natürlich nicht das Frontend für die Endbenutzer, aber es ist ein großartiges automatisches Tool, um Ihre gesamte API interaktiv zu dokumentieren. |
|||
|
|||
Es kann vom Frontend-Team verwendet werden (das auch Sie selbst sein können). |
|||
|
|||
Es kann von Anwendungen und Systemen Dritter verwendet werden. |
|||
|
|||
Und es kann auch von Ihnen selbst verwendet werden, um dieselbe Anwendung zu debuggen, zu prüfen und zu testen. |
|||
|
|||
## Der `password`-Flow |
|||
|
|||
Lassen Sie uns nun etwas zurückgehen und verstehen, was das alles ist. |
|||
|
|||
Der `password`-„Flow“ ist eine der in OAuth2 definierten Wege („Flows“) zur Handhabung von Sicherheit und Authentifizierung. |
|||
|
|||
OAuth2 wurde so konzipiert, dass das Backend oder die API unabhängig vom Server sein kann, der den Benutzer authentifiziert. |
|||
|
|||
In diesem Fall handhabt jedoch dieselbe **FastAPI**-Anwendung sowohl die API als auch die Authentifizierung. |
|||
|
|||
Betrachten wir es also aus dieser vereinfachten Sicht: |
|||
|
|||
* Der Benutzer gibt den `username` und das `password` im Frontend ein und drückt `Enter`. |
|||
* Das Frontend (das im Browser des Benutzers läuft) sendet diesen `username` und das `password` an eine bestimmte URL in unserer API (deklariert mit `tokenUrl="token"`). |
|||
* Die API überprüft den `username` und das `password` und antwortet mit einem „Token“ (wir haben davon noch nichts implementiert). |
|||
* Ein „Token“ ist lediglich ein String mit einem Inhalt, den wir später verwenden können, um diesen Benutzer zu verifizieren. |
|||
* Normalerweise läuft ein Token nach einiger Zeit ab. |
|||
* Daher muss sich der Benutzer irgendwann später erneut anmelden. |
|||
* Und wenn der Token gestohlen wird, ist das Risiko geringer. Es handelt sich nicht um einen dauerhaften Schlüssel, der (in den meisten Fällen) für immer funktioniert. |
|||
* Das Frontend speichert diesen Token vorübergehend irgendwo. |
|||
* Der Benutzer klickt im Frontend, um zu einem anderen Abschnitt der Frontend-Web-Anwendung zu gelangen. |
|||
* Das Frontend muss weitere Daten von der API abrufen. |
|||
* Es benötigt jedoch eine Authentifizierung für diesen bestimmten Endpunkt. |
|||
* Um sich also bei unserer API zu authentifizieren, sendet es einen Header `Authorization` mit dem Wert `Bearer` plus dem Token. |
|||
* Wenn der Token `foobar` enthielte, wäre der Inhalt des `Authorization`-Headers: `Bearer foobar`. |
|||
|
|||
## **FastAPI**s `OAuth2PasswordBearer` |
|||
|
|||
**FastAPI** bietet mehrere Tools auf unterschiedlichen Abstraktionsebenen zur Implementierung dieser Sicherheitsfunktionen. |
|||
|
|||
In diesem Beispiel verwenden wir **OAuth2** mit dem **Password**-Flow und einem **Bearer**-Token. Wir machen das mit der Klasse `OAuth2PasswordBearer`. |
|||
|
|||
!!! info |
|||
Ein „Bearer“-Token ist nicht die einzige Option. |
|||
|
|||
Aber es ist die beste für unseren Anwendungsfall. |
|||
|
|||
Und es ist wahrscheinlich auch für die meisten anderen Anwendungsfälle die beste, es sei denn, Sie sind ein OAuth2-Experte und wissen genau, warum es eine andere Option gibt, die Ihren Anforderungen besser entspricht. |
|||
|
|||
In dem Fall gibt Ihnen **FastAPI** ebenfalls die Tools, die Sie zum Erstellen brauchen. |
|||
|
|||
Wenn wir eine Instanz der Klasse `OAuth2PasswordBearer` erstellen, übergeben wir den Parameter `tokenUrl`. Dieser Parameter enthält die URL, die der Client (das Frontend, das im Browser des Benutzers ausgeführt wird) verwendet, wenn er den `username` und das `password` sendet, um einen Token zu erhalten. |
|||
|
|||
=== "Python 3.9+" |
|||
|
|||
```Python hl_lines="8" |
|||
{!> ../../../docs_src/security/tutorial001_an_py39.py!} |
|||
``` |
|||
|
|||
=== "Python 3.8+" |
|||
|
|||
```Python hl_lines="7" |
|||
{!> ../../../docs_src/security/tutorial001_an.py!} |
|||
``` |
|||
|
|||
=== "Python 3.8+ nicht annotiert" |
|||
|
|||
!!! tip "Tipp" |
|||
Bevorzugen Sie die `Annotated`-Version, falls möglich. |
|||
|
|||
```Python hl_lines="6" |
|||
{!> ../../../docs_src/security/tutorial001.py!} |
|||
``` |
|||
|
|||
!!! tip "Tipp" |
|||
Hier bezieht sich `tokenUrl="token"` auf eine relative URL `token`, die wir noch nicht erstellt haben. Da es sich um eine relative URL handelt, entspricht sie `./token`. |
|||
|
|||
Da wir eine relative URL verwenden, würde sich das, wenn sich Ihre API unter `https://example.com/` befindet, auf `https://example.com/token` beziehen. Wenn sich Ihre API jedoch unter `https://example.com/api/v1/` befände, würde es sich auf `https://example.com/api/v1/token` beziehen. |
|||
|
|||
Die Verwendung einer relativen URL ist wichtig, um sicherzustellen, dass Ihre Anwendung auch in einem fortgeschrittenen Anwendungsfall, wie [hinter einem Proxy](../../advanced/behind-a-proxy.md){.internal-link target=_blank}, weiterhin funktioniert. |
|||
|
|||
Dieser Parameter erstellt nicht diesen Endpunkt / diese *Pfadoperation*, sondern deklariert, dass die URL `/token` diejenige sein wird, die der Client verwenden soll, um den Token abzurufen. Diese Information wird in OpenAPI und dann in den interaktiven API-Dokumentationssystemen verwendet. |
|||
|
|||
Wir werden demnächst auch die eigentliche Pfadoperation erstellen. |
|||
|
|||
!!! info |
|||
Wenn Sie ein sehr strenger „Pythonista“ sind, missfällt Ihnen möglicherweise die Schreibweise des Parameternamens `tokenUrl` anstelle von `token_url`. |
|||
|
|||
Das liegt daran, dass FastAPI denselben Namen wie in der OpenAPI-Spezifikation verwendet. Sodass Sie, wenn Sie mehr über eines dieser Sicherheitsschemas herausfinden möchten, den Namen einfach kopieren und einfügen können, um weitere Informationen darüber zu erhalten. |
|||
|
|||
Die Variable `oauth2_scheme` ist eine Instanz von `OAuth2PasswordBearer`, aber auch ein „Callable“. |
|||
|
|||
Es könnte wie folgt aufgerufen werden: |
|||
|
|||
```Python |
|||
oauth2_scheme(some, parameters) |
|||
``` |
|||
|
|||
Es kann also mit `Depends` verwendet werden. |
|||
|
|||
### Verwendung |
|||
|
|||
Jetzt können Sie dieses `oauth2_scheme` als Abhängigkeit `Depends` übergeben. |
|||
|
|||
=== "Python 3.9+" |
|||
|
|||
```Python hl_lines="12" |
|||
{!> ../../../docs_src/security/tutorial001_an_py39.py!} |
|||
``` |
|||
|
|||
=== "Python 3.8+" |
|||
|
|||
```Python hl_lines="11" |
|||
{!> ../../../docs_src/security/tutorial001_an.py!} |
|||
``` |
|||
|
|||
=== "Python 3.8+ nicht annotiert" |
|||
|
|||
!!! tip "Tipp" |
|||
Bevorzugen Sie die `Annotated`-Version, falls möglich. |
|||
|
|||
```Python hl_lines="10" |
|||
{!> ../../../docs_src/security/tutorial001.py!} |
|||
``` |
|||
|
|||
Diese Abhängigkeit stellt einen `str` bereit, der dem Parameter `token` der *Pfadoperation-Funktion* zugewiesen wird. |
|||
|
|||
**FastAPI** weiß, dass es diese Abhängigkeit verwenden kann, um ein „Sicherheitsschema“ im OpenAPI-Schema (und der automatischen API-Dokumentation) zu definieren. |
|||
|
|||
!!! info "Technische Details" |
|||
**FastAPI** weiß, dass es die Klasse `OAuth2PasswordBearer` (deklariert in einer Abhängigkeit) verwenden kann, um das Sicherheitsschema in OpenAPI zu definieren, da es von `fastapi.security.oauth2.OAuth2` erbt, das wiederum von `fastapi.security.base.SecurityBase` erbt. |
|||
|
|||
Alle Sicherheits-Werkzeuge, die in OpenAPI integriert sind (und die automatische API-Dokumentation), erben von `SecurityBase`, so weiß **FastAPI**, wie es sie in OpenAPI integrieren muss. |
|||
|
|||
## Was es macht |
|||
|
|||
FastAPI wird im Request nach diesem `Authorization`-Header suchen, prüfen, ob der Wert `Bearer` plus ein Token ist, und den Token als `str` zurückgeben. |
|||
|
|||
Wenn es keinen `Authorization`-Header sieht, oder der Wert keinen `Bearer`-Token hat, antwortet es direkt mit einem 401-Statuscode-Error (`UNAUTHORIZED`). |
|||
|
|||
Sie müssen nicht einmal prüfen, ob der Token existiert, um einen Fehler zurückzugeben. Seien Sie sicher, dass Ihre Funktion, wenn sie ausgeführt wird, ein `str` in diesem Token enthält. |
|||
|
|||
Sie können das bereits in der interaktiven Dokumentation ausprobieren: |
|||
|
|||
<img src="/img/tutorial/security/image03.png"> |
|||
|
|||
Wir überprüfen im Moment noch nicht die Gültigkeit des Tokens, aber das ist bereits ein Anfang. |
|||
|
|||
## Zusammenfassung |
|||
|
|||
Mit nur drei oder vier zusätzlichen Zeilen haben Sie also bereits eine primitive Form der Sicherheit. |
|||
Loading…
Reference in new issue