fastapi提供了强大且灵活的依赖注入系统,使得实现api安全认证变得非常便捷。通常,我们会使用apikeyheader来定义api密钥的来源(例如,http请求头中的x-api-key),并结合security装饰器将其注入到路径操作函数或另一个依赖函数中。
考虑以下一个基本的API密钥认证实现:
from fastapi import FastAPI, HTTPException, Security
from fastapi.security import APIKeyHeader
app = FastAPI()
# 预设的API密钥列表
api_keys = ["my_api_key"]
# 定义API密钥从请求头 'X-API-Key' 中获取
api_key_header = APIKeyHeader(name="X-API-Key")
# 依赖函数,用于验证API密钥
def get_api_key(request_api_key: str = Security(api_key_header)) -> str:
if request_api_key in api_keys:
return request_api_key
raise HTTPException(
status_code=401,
detail="Invalid or missing API Key",
)
# 受保护的路由
@app.get("/protected")
def protected_route(api_key: str = Security(get_api_key)):
return {"message": "Access granted!"}在上述代码中,/protected路由通过Security(get_api_key)强制要求请求携带有效的X-API-Key。然而,在开发或测试阶段,我们可能希望暂时禁用这种认证,以便更方便地调试和测试功能,而无需每次都提供API密钥。
为了实现安全认证的可切换性,我们需要引入一个配置标志(例如testMode),并根据这个标志来条件性地应用Security依赖。核心思路在于修改get_api_key依赖函数的参数定义,使其在testMode为True时,不强制要求API密钥的存在。
具体实现如下:
以下是实现可切换安全认证的完整FastAPI应用代码:
from fastapi import FastAPI, HTTPException, Security
from fastapi.security import APIKeyHeader
from typing import Optional
app = FastAPI()
# 控制安全认证是否开启的标志
# 在实际应用中,这应通过环境变量或配置文件进行管理
testMode: bool = True # 设置为True表示测试模式,禁用认证
# testMode: bool = False # 设置为False表示生产模式,启用认证
# 预设的API密钥列表
api_keys = ["my_api_key"]
# 定义API密钥从请求头 'X-API-Key' 中获取
api_key_header = APIKeyHeader(name="X-API-Key")
# 依赖函数,用于验证API密钥
# 注意:request_key_header 的类型注解为 Optional[str],因为在testMode下可能为None
def get_api_key(
request_key_header: Optional[str] = Security(api_key_header) if not testMode else None,
) -> str:
"""
根据testMode标志和API密钥验证请求。
当testMode为True时,不强制要求API密钥。
"""
print(f"当前认证模式: {'测试模式' if testMode else '生产模式'}")
print(f"接收到的API密钥头: {request_key_header}")
# 如果处于测试模式,直接允许访问
if testMode:
print("测试模式下,认证通过。")
return "TEST_MODE_ACCESS" # 返回一个标识符表示通过测试模式
# 如果不在测试模式,则进行API密钥验证
if request_key_header in api_keys:
print("生产模式下,API密钥验证通过。")
return request_key_header
# 密钥无效或缺失,抛出HTTP异常
print("生产模式下,API密钥验证失败。")
raise HTTPException(
status_code=401,
detail="Invalid or missing API Key",
)
# 受保护的路由
@app.get("/protected")
def protected_route(api_key: str = Security(get_api_key)):
print(f"路由访问成功,API密钥信息: {api_key}")
return {"message": "Access granted!", "api_key_info": api_key}
要运行此FastAPI应用,请将其保存为main.py并使用Uvicorn启动:
uvicorn main:app --reload
接下来,我们可以通过curl命令进行测试:
当testMode设置为True时,即使不提供X-API-Key头,或者提供一个错误的密钥,请求也能成功。
不带API密钥的请求:
curl -X 'GET' 'http://localhost:8000/protected'
预期输出:{"message":"Access granted!","api_key_info":"TEST_MODE_ACCESS"}
带错误API密钥的请求:
curl -X 'GET' 'http://localhost:8000/protected' -H "X-API-Key: wrong_key"
预期输出:{"message":"Access granted!","api_key_info":"TEST_MODE_ACCESS"}
当testMode设置为False时,认证机制将完全启用。
不带API密钥的请求:
curl -X 'GET' 'http://localhost:8000/protected'
预期输出:{"detail":"Invalid or missing API Key"} (状态码 401)
带错误API密钥的请求:
curl -X 'GET' 'http://localhost:8000/protected' -H "X-API-Key: wrong_key"
预期输出:{"detail":"Invalid or missing API Key"} (状态码 401)
带正确API密钥的请求:
curl -X 'GET' 'http://localhost:8000/protected' -H "X-API-Key: my_api_key"
预期输出:{"message":"Access granted!","api_key_info":"my_api_key"}
通过巧妙地利用FastAPI的依赖注入系统和条件表达式,我们可以轻松实现一个可动态切换的安全认证机制。这种方法在开发和测试阶段提供了极大的便利性,允许开发者在不修改核心业务逻辑的情况下,快速启用或禁用认证,从而提高开发效率。然而,在使用此类机制时,务必牢记生产环境的安全考量,确保配置的正确性,避免潜在的安全风险。
以上就是FastAPI中实现可切换的安全认证机制的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
154
收藏
