HTTP Basic Auth

对于最简单的情况，您可以使用 HTTP Basic Auth。

在 HTTP Basic Auth 中，应用程序期望一个包含用户名和密码的头部。

如果未收到，它将返回一个 HTTP 401 "Unauthorized" 错误。

并返回一个 WWW-Authenticate 头部，值为 Basic，以及一个可选的 realm 参数。

这会告诉浏览器显示一个用于输入用户名和密码的集成提示。

然后，当您输入该用户名和密码时，浏览器会自动在头部中发送它们。

简单的 HTTP Basic Auth

• 导入 HTTPBasic 和 HTTPBasicCredentials。
• 使用 HTTPBasic 创建一个“security scheme”。
• 在您的路径操作中使用该 security 作为依赖项。
• 它返回一个 HTTPBasicCredentials 类型的对象
  • 它包含发送的 username 和 password。

Python 3.9+

from typing import Annotated

from fastapi import Depends, FastAPI
from fastapi.security import HTTPBasic, HTTPBasicCredentials

app = FastAPI()

security = HTTPBasic()


@app.get("/users/me")
def read_current_user(credentials: Annotated[HTTPBasicCredentials, Depends(security)]):
    return {"username": credentials.username, "password": credentials.password}

🤓 其他版本和变体

Python 3.9+ - 非注解

提示

如果可能，请优先使用 Annotated 版本。

from fastapi import Depends, FastAPI
from fastapi.security import HTTPBasic, HTTPBasicCredentials

app = FastAPI()

security = HTTPBasic()


@app.get("/users/me")
def read_current_user(credentials: HTTPBasicCredentials = Depends(security)):
    return {"username": credentials.username, "password": credentials.password}

当您第一次尝试打开 URL（或在文档中点击“Execute”按钮）时，浏览器会要求您输入用户名和密码。

检查用户名

这是一个更完整的示例。

使用一个依赖项来检查用户名和密码是否正确。

为此，使用 Python 标准模块 secrets 来检查用户名和密码。

secrets.compare_digest() 需要接收 bytes 或一个只包含 ASCII 字符（英文）的 str，这意味着它不适用于像 á 这样的字符，例如在 Sebastián 中。

为了处理这个问题，我们首先将 username 和 password 转换为 bytes，并使用 UTF-8 对它们进行编码。

然后我们可以使用 secrets.compare_digest() 来确保 credentials.username 是 "stanleyjobson"，并且 credentials.password 是 "swordfish"。

Python 3.9+

import secrets
from typing import Annotated

from fastapi import Depends, FastAPI, HTTPException, status
from fastapi.security import HTTPBasic, HTTPBasicCredentials

app = FastAPI()

security = HTTPBasic()


def get_current_username(
    credentials: Annotated[HTTPBasicCredentials, Depends(security)],
):
    current_username_bytes = credentials.username.encode("utf8")
    correct_username_bytes = b"stanleyjobson"
    is_correct_username = secrets.compare_digest(
        current_username_bytes, correct_username_bytes
    )
    current_password_bytes = credentials.password.encode("utf8")
    correct_password_bytes = b"swordfish"
    is_correct_password = secrets.compare_digest(
        current_password_bytes, correct_password_bytes
    )
    if not (is_correct_username and is_correct_password):
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Incorrect username or password",
            headers={"WWW-Authenticate": "Basic"},
        )
    return credentials.username


@app.get("/users/me")
def read_current_user(username: Annotated[str, Depends(get_current_username)]):
    return {"username": username}

🤓 其他版本和变体

Python 3.9+ - 非注解

提示

如果可能，请优先使用 Annotated 版本。

import secrets

from fastapi import Depends, FastAPI, HTTPException, status
from fastapi.security import HTTPBasic, HTTPBasicCredentials

app = FastAPI()

security = HTTPBasic()


def get_current_username(credentials: HTTPBasicCredentials = Depends(security)):
    current_username_bytes = credentials.username.encode("utf8")
    correct_username_bytes = b"stanleyjobson"
    is_correct_username = secrets.compare_digest(
        current_username_bytes, correct_username_bytes
    )
    current_password_bytes = credentials.password.encode("utf8")
    correct_password_bytes = b"swordfish"
    is_correct_password = secrets.compare_digest(
        current_password_bytes, correct_password_bytes
    )
    if not (is_correct_username and is_correct_password):
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Incorrect username or password",
            headers={"WWW-Authenticate": "Basic"},
        )
    return credentials.username


@app.get("/users/me")
def read_current_user(username: str = Depends(get_current_username)):
    return {"username": username}

这将类似于

if not (credentials.username == "stanleyjobson") or not (credentials.password == "swordfish"):
    # Return some error
    ...

但通过使用 secrets.compare_digest()，它将能够抵御一种称为“时序攻击”的攻击。

时序攻击

那么“时序攻击”是什么？

让我们想象一些攻击者正在尝试猜测用户名和密码。

他们发送一个用户名为 johndoe，密码为 love123 的请求。

那么您的应用程序中的 Python 代码将等同于以下内容：

if "johndoe" == "stanleyjobson" and "love123" == "swordfish":
    ...

但就在 Python 将 johndoe 中的第一个 j 与 stanleyjobson 中的第一个 s 进行比较的那一刻，它将返回 False，因为它已经知道这两个字符串不相同，认为“没有必要浪费更多计算来比较其余的字母”。而您的应用程序会显示“用户名或密码不正确”。

然后攻击者尝试使用用户名 stanleyjobsox 和密码 love123。

您的应用程序代码执行类似以下操作：

if "stanleyjobsox" == "stanleyjobson" and "love123" == "swordfish":
    ...

Python 将不得不比较 stanleyjobsox 和 stanleyjobson 中的整个 stanleyjobso，然后才能意识到这两个字符串不相同。因此，它需要额外的微秒时间来回复“用户名或密码不正确”。

响应时间会帮助攻击者

那时，通过注意到服务器花费了额外的几微秒时间来发送“用户名或密码不正确”的响应，攻击者就会知道他们猜对了一些东西，一些初始字母是正确的。

然后他们可以再次尝试，知道这可能比 johndoe 更接近 stanleyjobsox。

一次“专业的”攻击

当然，攻击者不会手动尝试所有这些，他们会编写一个程序来执行，可能每秒进行数千次或数百万次测试。他们一次只会得到一个额外的正确字母。

但是通过这样做，在几分钟或几小时内，攻击者就能够猜出正确的用户名和密码，这得益于我们应用程序的“帮助”，仅仅是利用了响应所需的时间。

使用 secrets.compare_digest() 修复

但在我们的代码中，我们实际上使用的是 secrets.compare_digest()。

简而言之，比较 stanleyjobsox 和 stanleyjobson 所需的时间与比较 johndoe 和 stanleyjobson 所需的时间相同。密码也一样。

这样，在您的应用程序代码中使用 secrets.compare_digest()，它将能够抵御所有这些类型的安全攻击。

返回错误

在检测到凭据不正确后，返回一个状态码为 401 的 HTTPException（与未提供凭据时返回的状态码相同），并添加 WWW-Authenticate 头部，使浏览器再次显示登录提示。

Python 3.9+

import secrets
from typing import Annotated

from fastapi import Depends, FastAPI, HTTPException, status
from fastapi.security import HTTPBasic, HTTPBasicCredentials

app = FastAPI()

security = HTTPBasic()


def get_current_username(
    credentials: Annotated[HTTPBasicCredentials, Depends(security)],
):
    current_username_bytes = credentials.username.encode("utf8")
    correct_username_bytes = b"stanleyjobson"
    is_correct_username = secrets.compare_digest(
        current_username_bytes, correct_username_bytes
    )
    current_password_bytes = credentials.password.encode("utf8")
    correct_password_bytes = b"swordfish"
    is_correct_password = secrets.compare_digest(
        current_password_bytes, correct_password_bytes
    )
    if not (is_correct_username and is_correct_password):
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Incorrect username or password",
            headers={"WWW-Authenticate": "Basic"},
        )
    return credentials.username


@app.get("/users/me")
def read_current_user(username: Annotated[str, Depends(get_current_username)]):
    return {"username": username}

🤓 其他版本和变体

Python 3.9+ - 非注解

提示

如果可能，请优先使用 Annotated 版本。

import secrets

from fastapi import Depends, FastAPI, HTTPException, status
from fastapi.security import HTTPBasic, HTTPBasicCredentials

app = FastAPI()

security = HTTPBasic()


def get_current_username(credentials: HTTPBasicCredentials = Depends(security)):
    current_username_bytes = credentials.username.encode("utf8")
    correct_username_bytes = b"stanleyjobson"
    is_correct_username = secrets.compare_digest(
        current_username_bytes, correct_username_bytes
    )
    current_password_bytes = credentials.password.encode("utf8")
    correct_password_bytes = b"swordfish"
    is_correct_password = secrets.compare_digest(
        current_password_bytes, correct_password_bytes
    )
    if not (is_correct_username and is_correct_password):
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="Incorrect username or password",
            headers={"WWW-Authenticate": "Basic"},
        )
    return credentials.username


@app.get("/users/me")
def read_current_user(username: str = Depends(get_current_username)):
    return {"username": username}