Python API权限控制核心是在请求到达业务逻辑前拦截验证,常用JWT/OAuth2鉴权、RBAC/ABAC授权、API Key限流及细粒度校验,需防ID越权、批量绕过、错误泄露等漏洞。
Python API 接口的权限控制,核心是“在请求到达业务逻辑前,拦截并验证调用方是否有权访问该资源或操作”。常用方式包括 Token 鉴权、角色/权限模型、API Key 限制和细粒度访问控制,关键不在技术选型,而在设计是否贴合实际场景(如内部服务调用 vs 公开开放平台)。
使用 JWT 或 OAuth2 做身份+权限校验
JWT 是最常用的无状态鉴权方案。用户登录后颁发含 user_id、roles 或 scopes 的 token,后续每个请求携带 Authorization: Bearer xxx。服务端解析 token 并检查权限字段,不查数据库,性能好。
- 推荐用
PyJWT+ 自定义中间件(FastAPI 用 Depends,Flask 用 before_request)做全局校验 - 敏感接口可要求 scope(如
"user:delete"),避免仅靠 role(如 "admin")粗放放行 - token 过期时间要合理:内部系统可设 24h,前端频繁交互建议 1h + 刷新机制
基于角色(RBAC)或属性(ABAC)动态授权
单纯验身份不够,还需判断“当前用户能否执行这个动作”。RBAC 适合组织结构清晰的系统(如 admin / editor / viewer),ABAC 更灵活(如 “允许部门A的组长修改本部门订单”)。
- FastAPI 中可用依赖项封装权限检查:
Depends(RequireRole("editor"))或Depends(CanEditOrder(order_id)) - 把权限规则外置(如 JSON 配置或策略服务),避免硬编码;例如定义
{"endpoint": "/api/v1/orders/{id}", "method": "PUT", "rule": "owner_or_dept_admin"} - 数据库中存用户-角色-权限关系表,查询时用 JOIN 或预加载减少 N+1 查询
API Key + 白名单 + 请求频控组合加固
面向第三方开发者时,仅靠账号密码或 JWT 不够安全。API Key 应绑定应用、限流、限定 IP 或 Referer,并配合签名防止重放。
立即学习“Python免费学习笔记(深入)”;
- Key 存 Redis,记录剩余调用量、最后调用时间;每次请求原子性扣减(
DECR)并检查阈值 - 对高危接口(如删除、导出)强制要求二次认证(如额外传
X-Confirm: true或短信验证码) - 用
fastapi-limiter或自定义中间件实现 per-key / per-ip / per-endpoint 多级限流
避免常见疏漏点
权限漏洞往往不出现在主流程,而藏在边界情况里:
- ID 参数未校验归属:用户 A 传
/orders/123,后端没检查 123 是否属于 A,导致越权读取 - 批量操作绕过单条校验:接口支持
POST /orders/batch-delete,但只验了用户有 delete 权限,没验每条 ID 是否可删 - 错误信息泄露权限逻辑:返回
{"error": "Permission denied for role 'user'"}暴露系统权限结构 - 忽略 OPTIONS、HEAD 等方法:某些框架默认放行,但它们也可能触发敏感逻辑(如缓存预检暴露路径)
权限控制不是加个装饰器就完事,而是贯穿认证、鉴权、审计的闭环。从最小权限原则出发,先禁所有,再按需开;上线前用越权测试脚本扫一遍关键接口,比事后补救更有效。
