安全工具

当你需要使用 OAuth2 范围声明依赖项时，使用 Security()。

但是你仍然需要定义可依赖的项，即你作为参数传递给 Depends() 或 Security() 的可调用项。

你可以使用多种工具来创建这些可依赖的项，它们会集成到 OpenAPI 中，这样它们就会显示在自动文档 UI 中，可以被自动生成的客户端和 SDK 等使用。

你可以从 fastapi.security 中导入它们

from fastapi.security import (
    APIKeyCookie,
    APIKeyHeader,
    APIKeyQuery,
    HTTPAuthorizationCredentials,
    HTTPBasic,
    HTTPBasicCredentials,
    HTTPBearer,
    HTTPDigest,
    OAuth2,
    OAuth2AuthorizationCodeBearer,
    OAuth2PasswordBearer,
    OAuth2PasswordRequestForm,
    OAuth2PasswordRequestFormStrict,
    OpenIdConnect,
    SecurityScopes,
)

API 密钥安全方案

fastapi.security.APIKeyCookie

APIKeyCookie(
    *,
    name,
    scheme_name=None,
    description=None,
    auto_error=True
)

基类：APIKeyBase

使用 cookie 进行 API 密钥身份验证。

这定义了在请求中应该使用 API 密钥提供的 cookie 的名称，并将该名称集成到 OpenAPI 文档中。它会自动提取通过 cookie 发送的密钥值，并将其作为依赖项结果提供。但它没有定义如何设置该 cookie。

用法

创建一个实例对象，并在 Depends() 中使用该对象作为依赖项。

依赖项结果将是一个包含密钥值的字符串。

示例

from fastapi import Depends, FastAPI
from fastapi.security import APIKeyCookie

app = FastAPI()

cookie_scheme = APIKeyCookie(name="session")


@app.get("/items/")
async def read_items(session: str = Depends(cookie_scheme)):
    return {"session": session}

参数	描述
name	Cookie 名稱。 類型： str
scheme_name	安全方案名稱。 它將包含在生成的 OpenAPI 中（例如，在 /docs 可見）。 類型： 可選[str] 默認值： 無
description	安全方案描述。 它將包含在生成的 OpenAPI 中（例如，在 /docs 可見）。 類型： 可選[str] 默認值： 無
auto_error	默認情況下，如果沒有提供 cookie，APIKeyCookie 將自動取消請求並向客戶端發送錯誤。 如果將 auto_error 設置為 False，則在 cookie 不可用時，依賴結果將為 無，而不是出現錯誤。 這在您想要實現可選身份驗證時很有用。 這在您想要實現身份驗證時也有用，這種身份驗證可以在多種可選方式中提供（例如，在 cookie 或 HTTP Bearer 令牌中）。 類型： bool 默認值： True

源代碼在 fastapi/security/api_key.py 中

def __init__(
    self,
    *,
    name: Annotated[str, Doc("Cookie name.")],
    scheme_name: Annotated[
        Optional[str],
        Doc(
            """
            Security scheme name.

            It will be included in the generated OpenAPI (e.g. visible at `/docs`).
            """
        ),
    ] = None,
    description: Annotated[
        Optional[str],
        Doc(
            """
            Security scheme description.

            It will be included in the generated OpenAPI (e.g. visible at `/docs`).
            """
        ),
    ] = None,
    auto_error: Annotated[
        bool,
        Doc(
            """
            By default, if the cookie is not provided, `APIKeyCookie` will
            automatically cancel the request and send the client an error.

            If `auto_error` is set to `False`, when the cookie is not available,
            instead of erroring out, the dependency result will be `None`.

            This is useful when you want to have optional authentication.

            It is also useful when you want to have authentication that can be
            provided in one of multiple optional ways (for example, in a cookie or
            in an HTTP Bearer token).
            """
        ),
    ] = True,
):
    self.model: APIKey = APIKey(
        **{"in": APIKeyIn.cookie},  # type: ignore[arg-type]
        name=name,
        description=description,
    )
    self.scheme_name = scheme_name or self.__class__.__name__
    self.auto_error = auto_error

model 實例屬性

model = APIKey(
    **{"in": cookie}, name=name, description=description
)

scheme_name 實例屬性

scheme_name = scheme_name or __name__

auto_error 實例屬性

auto_error = auto_error

fastapi.security.APIKeyHeader

APIKeyHeader(
    *,
    name,
    scheme_name=None,
    description=None,
    auto_error=True
)

基类：APIKeyBase

使用標頭進行 API 密鑰身份驗證。

這定義了請求中應與 API 密鑰一起提供的標頭名稱，並將其集成到 OpenAPI 文檔中。它會自動提取在標頭中發送的密鑰值，並將其作為依賴結果提供。但它沒有定義如何將該密鑰發送到客戶端。

用法

创建一个实例对象，并在 Depends() 中使用该对象作为依赖项。

依赖项结果将是一个包含密钥值的字符串。

範例

from fastapi import Depends, FastAPI
from fastapi.security import APIKeyHeader

app = FastAPI()

header_scheme = APIKeyHeader(name="x-key")


@app.get("/items/")
async def read_items(key: str = Depends(header_scheme)):
    return {"key": key}

参数	描述
name	標頭名稱。 類型： str
scheme_name	安全方案名稱。 它將包含在生成的 OpenAPI 中（例如，在 /docs 可見）。 類型： 可選[str] 默認值： 無
description	安全方案描述。 它將包含在生成的 OpenAPI 中（例如，在 /docs 可見）。 類型： 可選[str] 默認值： 無
auto_error	默認情況下，如果沒有提供標頭，APIKeyHeader 將自動取消請求並向客戶端發送錯誤。 如果將 auto_error 設置為 False，則在標頭不可用時，依賴結果將為 無，而不是出現錯誤。 這在您想要實現可選身份驗證時很有用。 這在您想要實現身份驗證時也有用，這種身份驗證可以在多種可選方式中提供（例如，在標頭或 HTTP Bearer 令牌中）。 類型： bool 默認值： True

源代碼在 fastapi/security/api_key.py 中

def __init__(
    self,
    *,
    name: Annotated[str, Doc("Header name.")],
    scheme_name: Annotated[
        Optional[str],
        Doc(
            """
            Security scheme name.

            It will be included in the generated OpenAPI (e.g. visible at `/docs`).
            """
        ),
    ] = None,
    description: Annotated[
        Optional[str],
        Doc(
            """
            Security scheme description.

            It will be included in the generated OpenAPI (e.g. visible at `/docs`).
            """
        ),
    ] = None,
    auto_error: Annotated[
        bool,
        Doc(
            """
            By default, if the header is not provided, `APIKeyHeader` will
            automatically cancel the request and send the client an error.

            If `auto_error` is set to `False`, when the header is not available,
            instead of erroring out, the dependency result will be `None`.

            This is useful when you want to have optional authentication.

            It is also useful when you want to have authentication that can be
            provided in one of multiple optional ways (for example, in a header or
            in an HTTP Bearer token).
            """
        ),
    ] = True,
):
    self.model: APIKey = APIKey(
        **{"in": APIKeyIn.header},  # type: ignore[arg-type]
        name=name,
        description=description,
    )
    self.scheme_name = scheme_name or self.__class__.__name__
    self.auto_error = auto_error

model 實例屬性

model = APIKey(
    **{"in": header}, name=name, description=description
)

scheme_name 實例屬性

scheme_name = scheme_name or __name__

auto_error 實例屬性

auto_error = auto_error

fastapi.security.APIKeyQuery

APIKeyQuery(
    *,
    name,
    scheme_name=None,
    description=None,
    auto_error=True
)

基类：APIKeyBase

使用查詢參數進行 API 密鑰身份驗證。

這定義了請求中應與 API 密鑰一起提供的查詢參數名稱，並將其集成到 OpenAPI 文檔中。它會自動提取在查詢參數中發送的密鑰值，並將其作為依賴結果提供。但它沒有定義如何將該 API 密鑰發送到客戶端。

用法

创建一个实例对象，并在 Depends() 中使用该对象作为依赖项。

依赖项结果将是一个包含密钥值的字符串。

範例

from fastapi import Depends, FastAPI
from fastapi.security import APIKeyQuery

app = FastAPI()

query_scheme = APIKeyQuery(name="api_key")


@app.get("/items/")
async def read_items(api_key: str = Depends(query_scheme)):
    return {"api_key": api_key}

参数	描述
name	查詢參數名稱。 類型： str
scheme_name	安全方案名稱。 它將包含在生成的 OpenAPI 中（例如，在 /docs 可見）。 類型： 可選[str] 默認值： 無
description	安全方案描述。 它將包含在生成的 OpenAPI 中（例如，在 /docs 可見）。 類型： 可選[str] 默認值： 無
auto_error	默認情況下，如果沒有提供查詢參數，APIKeyQuery 將自動取消請求並向客戶端發送錯誤。 如果將 auto_error 設置為 False，則在查詢參數不可用時，依賴結果將為 無，而不是出現錯誤。 這在您想要實現可選身份驗證時很有用。 這在您想要實現身份驗證時也有用，這種身份驗證可以在多種可選方式中提供（例如，在查詢參數或 HTTP Bearer 令牌中）。 類型： bool 默認值： True

源代碼在 fastapi/security/api_key.py 中

def __init__(
    self,
    *,
    name: Annotated[
        str,
        Doc("Query parameter name."),
    ],
    scheme_name: Annotated[
        Optional[str],
        Doc(
            """
            Security scheme name.

            It will be included in the generated OpenAPI (e.g. visible at `/docs`).
            """
        ),
    ] = None,
    description: Annotated[
        Optional[str],
        Doc(
            """
            Security scheme description.

            It will be included in the generated OpenAPI (e.g. visible at `/docs`).
            """
        ),
    ] = None,
    auto_error: Annotated[
        bool,
        Doc(
            """
            By default, if the query parameter is not provided, `APIKeyQuery` will
            automatically cancel the request and send the client an error.

            If `auto_error` is set to `False`, when the query parameter is not
            available, instead of erroring out, the dependency result will be
            `None`.

            This is useful when you want to have optional authentication.

            It is also useful when you want to have authentication that can be
            provided in one of multiple optional ways (for example, in a query
            parameter or in an HTTP Bearer token).
            """
        ),
    ] = True,
):
    self.model: APIKey = APIKey(
        **{"in": APIKeyIn.query},  # type: ignore[arg-type]
        name=name,
        description=description,
    )
    self.scheme_name = scheme_name or self.__class__.__name__
    self.auto_error = auto_error

model 實例屬性

model = APIKey(
    **{"in": query}, name=name, description=description
)

scheme_name 實例屬性

scheme_name = scheme_name or __name__

auto_error 實例屬性

auto_error = auto_error

HTTP 身份驗證方案

fastapi.security.HTTPBasic

HTTPBasic(
    *,
    scheme_name=None,
    realm=None,
    description=None,
    auto_error=True
)

基類：HTTPBase

HTTP 基本身份驗證。

用法

创建一个实例对象，并在 Depends() 中使用该对象作为依赖项。

依賴結果將是包含 username 和 password 的 HTTPBasicCredentials 對象。

在 FastAPI HTTP 基本身份驗證文檔 中了解更多信息。

範例

from typing import Annotated

from fastapi import Depends, FastAPI
from fastapi.security import HTTPBasic, HTTPBasicCredentials

app = FastAPI()

security = HTTPBasic()


@app.get("/users/me")
def read_current_user(credentials: Annotated[HTTPBasicCredentials, Depends(security)]):
    return {"username": credentials.username, "password": credentials.password}

参数	描述
scheme_name	安全方案名稱。 它將包含在生成的 OpenAPI 中（例如，在 /docs 可見）。 類型： 可選[str] 默認值： 無
realm	HTTP 基本身份驗證領域。 類型： 可選[str] 默認值： 無
description	安全方案描述。 它將包含在生成的 OpenAPI 中（例如，在 /docs 可見）。 類型： 可選[str] 默認值： 無
auto_error	默認情況下，如果沒有提供 HTTP 基本身份驗證（標頭），HTTPBasic 將自動取消請求並向客戶端發送錯誤。 如果將 auto_error 設置為 False，則在 HTTP 基本身份驗證不可用時，依賴結果將為 無，而不是出現錯誤。 這在您想要實現可選身份驗證時很有用。 這在您想要實現身份驗證時也有用，這種身份驗證可以在多種可選方式中提供（例如，在 HTTP 基本身份驗證或 HTTP Bearer 令牌中）。 類型： bool 默認值： True

源代碼在 fastapi/security/http.py 中

def __init__(
    self,
    *,
    scheme_name: Annotated[
        Optional[str],
        Doc(
            """
            Security scheme name.

            It will be included in the generated OpenAPI (e.g. visible at `/docs`).
            """
        ),
    ] = None,
    realm: Annotated[
        Optional[str],
        Doc(
            """
            HTTP Basic authentication realm.
            """
        ),
    ] = None,
    description: Annotated[
        Optional[str],
        Doc(
            """
            Security scheme description.

            It will be included in the generated OpenAPI (e.g. visible at `/docs`).
            """
        ),
    ] = None,
    auto_error: Annotated[
        bool,
        Doc(
            """
            By default, if the HTTP Basic authentication is not provided (a
            header), `HTTPBasic` will automatically cancel the request and send the
            client an error.

            If `auto_error` is set to `False`, when the HTTP Basic authentication
            is not available, instead of erroring out, the dependency result will
            be `None`.

            This is useful when you want to have optional authentication.

            It is also useful when you want to have authentication that can be
            provided in one of multiple optional ways (for example, in HTTP Basic
            authentication or in an HTTP Bearer token).
            """
        ),
    ] = True,
):
    self.model = HTTPBaseModel(scheme="basic", description=description)
    self.scheme_name = scheme_name or self.__class__.__name__
    self.realm = realm
    self.auto_error = auto_error

model 實例屬性

model = HTTPBase(scheme='basic', description=description)

scheme_name 實例屬性

scheme_name = scheme_name or __name__

realm 實例屬性

realm = realm

auto_error 實例屬性

auto_error = auto_error

fastapi.security.HTTPBearer

HTTPBearer(
    *,
    bearerFormat=None,
    scheme_name=None,
    description=None,
    auto_error=True
)

基類：HTTPBase

HTTP Bearer 令牌身份驗證。

用法

创建一个实例对象，并在 Depends() 中使用该对象作为依赖项。

依賴結果將是包含 scheme 和 credentials 的 HTTPAuthorizationCredentials 對象。

範例

from typing import Annotated

from fastapi import Depends, FastAPI
from fastapi.security import HTTPAuthorizationCredentials, HTTPBearer

app = FastAPI()

security = HTTPBearer()


@app.get("/users/me")
def read_current_user(
    credentials: Annotated[HTTPAuthorizationCredentials, Depends(security)]
):
    return {"scheme": credentials.scheme, "credentials": credentials.credentials}

参数	描述
bearerFormat	Bearer 令牌格式。 類型： 可選[str] 默認值： 無
scheme_name	安全方案名稱。 它將包含在生成的 OpenAPI 中（例如，在 /docs 可見）。 類型： 可選[str] 默認值： 無
description	安全方案描述。 它將包含在生成的 OpenAPI 中（例如，在 /docs 可見）。 類型： 可選[str] 默認值： 無
auto_error	默認情況下，如果沒有提供 HTTP Bearer 令牌（在 Authorization 標頭中），HTTPBearer 將自動取消請求並向客戶端發送錯誤。 如果將 auto_error 設置為 False，則在 HTTP Bearer 令牌不可用時，依賴結果將為 無，而不是出現錯誤。 這在您想要實現可選身份驗證時很有用。 這在您想要實現身份驗證時也有用，這種身份驗證可以在多種可選方式中提供（例如，在 HTTP Bearer 令牌或 cookie 中）。 類型： bool 默認值： True

源代碼在 fastapi/security/http.py 中

def __init__(
    self,
    *,
    bearerFormat: Annotated[Optional[str], Doc("Bearer token format.")] = None,
    scheme_name: Annotated[
        Optional[str],
        Doc(
            """
            Security scheme name.

            It will be included in the generated OpenAPI (e.g. visible at `/docs`).
            """
        ),
    ] = None,
    description: Annotated[
        Optional[str],
        Doc(
            """
            Security scheme description.

            It will be included in the generated OpenAPI (e.g. visible at `/docs`).
            """
        ),
    ] = None,
    auto_error: Annotated[
        bool,
        Doc(
            """
            By default, if the HTTP Bearer token is not provided (in an
            `Authorization` header), `HTTPBearer` will automatically cancel the
            request and send the client an error.

            If `auto_error` is set to `False`, when the HTTP Bearer token
            is not available, instead of erroring out, the dependency result will
            be `None`.

            This is useful when you want to have optional authentication.

            It is also useful when you want to have authentication that can be
            provided in one of multiple optional ways (for example, in an HTTP
            Bearer token or in a cookie).
            """
        ),
    ] = True,
):
    self.model = HTTPBearerModel(bearerFormat=bearerFormat, description=description)
    self.scheme_name = scheme_name or self.__class__.__name__
    self.auto_error = auto_error

model 實例屬性

model = HTTPBearer(
    bearerFormat=bearerFormat, description=description
)

scheme_name 實例屬性

scheme_name = scheme_name or __name__

auto_error 實例屬性

auto_error = auto_error

fastapi.security.HTTPDigest

HTTPDigest(
    *, scheme_name=None, description=None, auto_error=True
)

基類：HTTPBase

HTTP 摘要身份驗證。

用法

创建一个实例对象，并在 Depends() 中使用该对象作为依赖项。

依賴結果將是包含 scheme 和 credentials 的 HTTPAuthorizationCredentials 對象。

範例

from typing import Annotated

from fastapi import Depends, FastAPI
from fastapi.security import HTTPAuthorizationCredentials, HTTPDigest

app = FastAPI()

security = HTTPDigest()


@app.get("/users/me")
def read_current_user(
    credentials: Annotated[HTTPAuthorizationCredentials, Depends(security)]
):
    return {"scheme": credentials.scheme, "credentials": credentials.credentials}

参数	描述
scheme_name	安全方案名稱。 它將包含在生成的 OpenAPI 中（例如，在 /docs 可見）。 類型： 可選[str] 默認值： 無
description	安全方案描述。 它將包含在生成的 OpenAPI 中（例如，在 /docs 可見）。 類型： 可選[str] 默認值： 無
auto_error	默認情況下，如果沒有提供 HTTP 摘要，HTTPDigest 將自動取消請求並向客戶端發送錯誤。 如果將 auto_error 設置為 False，則在 HTTP 摘要不可用時，依賴結果將為 無，而不是出現錯誤。 這在您想要實現可選身份驗證時很有用。 這在您想要實現身份驗證時也有用，這種身份驗證可以在多種可選方式中提供（例如，在 HTTP 摘要或 cookie 中）。 類型： bool 默認值： True

源代碼在 fastapi/security/http.py 中

def __init__(
    self,
    *,
    scheme_name: Annotated[
        Optional[str],
        Doc(
            """
            Security scheme name.

            It will be included in the generated OpenAPI (e.g. visible at `/docs`).
            """
        ),
    ] = None,
    description: Annotated[
        Optional[str],
        Doc(
            """
            Security scheme description.

            It will be included in the generated OpenAPI (e.g. visible at `/docs`).
            """
        ),
    ] = None,
    auto_error: Annotated[
        bool,
        Doc(
            """
            By default, if the HTTP Digest is not provided, `HTTPDigest` will
            automatically cancel the request and send the client an error.

            If `auto_error` is set to `False`, when the HTTP Digest is not
            available, instead of erroring out, the dependency result will
            be `None`.

            This is useful when you want to have optional authentication.

            It is also useful when you want to have authentication that can be
            provided in one of multiple optional ways (for example, in HTTP
            Digest or in a cookie).
            """
        ),
    ] = True,
):
    self.model = HTTPBaseModel(scheme="digest", description=description)
    self.scheme_name = scheme_name or self.__class__.__name__
    self.auto_error = auto_error

model 實例屬性

model = HTTPBase(scheme='digest', description=description)

scheme_name 實例屬性

scheme_name = scheme_name or __name__

auto_error instance-attribute

auto_error = auto_error

HTTP 凭据

fastapi.security.HTTPAuthorizationCredentials

基类：BaseModel

在依赖项中使用 HTTPBearer 或 HTTPDigest 时，结果中的 HTTP 授权凭据。

HTTP 授权标头值以第一个空格分隔。

第一部分是 scheme，第二部分是 credentials。

例如，在 HTTP Bearer 令牌方案中，客户端将发送类似的标头

Authorization: Bearer deadbeef12346

在这种情况下

• scheme 的值为 "Bearer"
• credentials 的值为 "deadbeef12346"

scheme instance-attribute

scheme

从标头值中提取的 HTTP 授权方案。

credentials instance-attribute

credentials

从标头值中提取的 HTTP 授权凭据。

fastapi.security.HTTPBasicCredentials

基类：BaseModel

在依赖项中使用 HTTPBasic 时，作为结果给出的 HTTP Basic 凭据。

在 FastAPI HTTP 基本身份驗證文檔 中了解更多信息。

username instance-attribute

username

HTTP Basic 用户名。

password instance-attribute

password

HTTP Basic 密码。

OAuth2 身份验证

fastapi.security.OAuth2

OAuth2(
    *,
    flows=OAuthFlows(),
    scheme_name=None,
    description=None,
    auto_error=True
)

基类：SecurityBase

这是 OAuth2 身份验证的基类，它的实例将用作依赖项。所有其他 OAuth2 类都继承自它，并为每个 OAuth2 流程对其进行自定义。

您通常不会创建一个新的类继承自它，而是使用现有的子类之一，并且如果您想支持多个流程，也许可以将它们组合起来。

在 FastAPI 安全文档 中了解更多信息。

参数	描述
flows	OAuth2 流程的字典。 TYPE: Union[OAuthFlows, Dict[str, Dict[str, Any]]] DEFAULT: OAuthFlows()
scheme_name	安全方案名稱。 它將包含在生成的 OpenAPI 中（例如，在 /docs 可見）。 類型： 可選[str] 默認值： 無
description	安全方案描述。 它將包含在生成的 OpenAPI 中（例如，在 /docs 可見）。 類型： 可選[str] 默認值： 無
auto_error	默认情况下，如果没有提供 HTTP 授权标头（OAuth2 身份验证所必需的），它将自动取消请求并向客户端发送错误。 如果 auto_error 设置为 False，则当 HTTP 授权标头不可用时，依赖项结果将为 None，而不是出错。 這在您想要實現可選身份驗證時很有用。 当您希望具有可以通过多种可选方式提供身份验证（例如，使用 OAuth2 或在 cookie 中）时，它也非常有用。 類型： bool 默認值： True

源代码位于 fastapi/security/oauth2.py 中

def __init__(
    self,
    *,
    flows: Annotated[
        Union[OAuthFlowsModel, Dict[str, Dict[str, Any]]],
        Doc(
            """
            The dictionary of OAuth2 flows.
            """
        ),
    ] = OAuthFlowsModel(),
    scheme_name: Annotated[
        Optional[str],
        Doc(
            """
            Security scheme name.

            It will be included in the generated OpenAPI (e.g. visible at `/docs`).
            """
        ),
    ] = None,
    description: Annotated[
        Optional[str],
        Doc(
            """
            Security scheme description.

            It will be included in the generated OpenAPI (e.g. visible at `/docs`).
            """
        ),
    ] = None,
    auto_error: Annotated[
        bool,
        Doc(
            """
            By default, if no HTTP Authorization header is provided, required for
            OAuth2 authentication, it will automatically cancel the request and
            send the client an error.

            If `auto_error` is set to `False`, when the HTTP Authorization header
            is not available, instead of erroring out, the dependency result will
            be `None`.

            This is useful when you want to have optional authentication.

            It is also useful when you want to have authentication that can be
            provided in one of multiple optional ways (for example, with OAuth2
            or in a cookie).
            """
        ),
    ] = True,
):
    self.model = OAuth2Model(
        flows=cast(OAuthFlowsModel, flows), description=description
    )
    self.scheme_name = scheme_name or self.__class__.__name__
    self.auto_error = auto_error

model instance-attribute

model = OAuth2(
    flows=cast(OAuthFlows, flows), description=description
)

scheme_name instance-attribute

scheme_name = scheme_name or __name__

auto_error instance-attribute

auto_error = auto_error

fastapi.security.OAuth2AuthorizationCodeBearer

OAuth2AuthorizationCodeBearer(
    authorizationUrl,
    tokenUrl,
    refreshUrl=None,
    scheme_name=None,
    scopes=None,
    description=None,
    auto_error=True,
)

基类：OAuth2

用于使用使用 OAuth2 代码流程获得的承载令牌进行身份验证的 OAuth2 流程。它的实例将用作依赖项。

参数	描述
authorizationUrl	類型： str
tokenUrl	获取 OAuth2 令牌的 URL。 類型： str
refreshUrl	刷新令牌并获取新令牌的 URL。 類型： 可選[str] 默認值： 無
scheme_name	安全方案名稱。 它將包含在生成的 OpenAPI 中（例如，在 /docs 可見）。 類型： 可選[str] 默認值： 無
scopes	使用此依赖项的路径操作所需 OAuth2 范围。 TYPE: Optional[Dict[str, str]] DEFAULT: None
description	安全方案描述。 它將包含在生成的 OpenAPI 中（例如，在 /docs 可見）。 類型： 可選[str] 默認值： 無
auto_error	默认情况下，如果没有提供 HTTP 授权标头（OAuth2 身份验证所必需的），它将自动取消请求并向客户端发送错误。 如果 auto_error 设置为 False，则当 HTTP 授权标头不可用时，依赖项结果将为 None，而不是出错。 這在您想要實現可選身份驗證時很有用。 当您希望具有可以通过多种可选方式提供身份验证（例如，使用 OAuth2 或在 cookie 中）时，它也非常有用。 類型： bool 默認值： True

源代码位于 fastapi/security/oauth2.py 中

def __init__(
    self,
    authorizationUrl: str,
    tokenUrl: Annotated[
        str,
        Doc(
            """
            The URL to obtain the OAuth2 token.
            """
        ),
    ],
    refreshUrl: Annotated[
        Optional[str],
        Doc(
            """
            The URL to refresh the token and obtain a new one.
            """
        ),
    ] = None,
    scheme_name: Annotated[
        Optional[str],
        Doc(
            """
            Security scheme name.

            It will be included in the generated OpenAPI (e.g. visible at `/docs`).
            """
        ),
    ] = None,
    scopes: Annotated[
        Optional[Dict[str, str]],
        Doc(
            """
            The OAuth2 scopes that would be required by the *path operations* that
            use this dependency.
            """
        ),
    ] = None,
    description: Annotated[
        Optional[str],
        Doc(
            """
            Security scheme description.

            It will be included in the generated OpenAPI (e.g. visible at `/docs`).
            """
        ),
    ] = None,
    auto_error: Annotated[
        bool,
        Doc(
            """
            By default, if no HTTP Authorization header is provided, required for
            OAuth2 authentication, it will automatically cancel the request and
            send the client an error.

            If `auto_error` is set to `False`, when the HTTP Authorization header
            is not available, instead of erroring out, the dependency result will
            be `None`.

            This is useful when you want to have optional authentication.

            It is also useful when you want to have authentication that can be
            provided in one of multiple optional ways (for example, with OAuth2
            or in a cookie).
            """
        ),
    ] = True,
):
    if not scopes:
        scopes = {}
    flows = OAuthFlowsModel(
        authorizationCode=cast(
            Any,
            {
                "authorizationUrl": authorizationUrl,
                "tokenUrl": tokenUrl,
                "refreshUrl": refreshUrl,
                "scopes": scopes,
            },
        )
    )
    super().__init__(
        flows=flows,
        scheme_name=scheme_name,
        description=description,
        auto_error=auto_error,
    )

model instance-attribute

model = OAuth2(
    flows=cast(OAuthFlows, flows), description=description
)

scheme_name instance-attribute

scheme_name = scheme_name or __name__

auto_error instance-attribute

auto_error = auto_error

fastapi.security.OAuth2PasswordBearer

OAuth2PasswordBearer(
    tokenUrl,
    scheme_name=None,
    scopes=None,
    description=None,
    auto_error=True,
)

基类：OAuth2

用于使用使用密码获得的承载令牌进行身份验证的 OAuth2 流程。它的实例将用作依赖项。

在 FastAPI 简单 OAuth2 与密码和承载文档 中了解更多信息。

参数	描述
tokenUrl	获取 OAuth2 令牌的 URL。这将是具有 OAuth2PasswordRequestForm 作为依赖项的路径操作。 類型： str
scheme_name	安全方案名稱。 它將包含在生成的 OpenAPI 中（例如，在 /docs 可見）。 類型： 可選[str] 默認值： 無
scopes	使用此依赖项的路径操作所需 OAuth2 范围。 TYPE: Optional[Dict[str, str]] DEFAULT: None
description	安全方案描述。 它將包含在生成的 OpenAPI 中（例如，在 /docs 可見）。 類型： 可選[str] 默認值： 無
auto_error	默认情况下，如果没有提供 HTTP 授权标头（OAuth2 身份验证所必需的），它将自动取消请求并向客户端发送错误。 如果 auto_error 设置为 False，则当 HTTP 授权标头不可用时，依赖项结果将为 None，而不是出错。 這在您想要實現可選身份驗證時很有用。 当您希望具有可以通过多种可选方式提供身份验证（例如，使用 OAuth2 或在 cookie 中）时，它也非常有用。 類型： bool 默認值： True

源代码位于 fastapi/security/oauth2.py 中

def __init__(
    self,
    tokenUrl: Annotated[
        str,
        Doc(
            """
            The URL to obtain the OAuth2 token. This would be the *path operation*
            that has `OAuth2PasswordRequestForm` as a dependency.
            """
        ),
    ],
    scheme_name: Annotated[
        Optional[str],
        Doc(
            """
            Security scheme name.

            It will be included in the generated OpenAPI (e.g. visible at `/docs`).
            """
        ),
    ] = None,
    scopes: Annotated[
        Optional[Dict[str, str]],
        Doc(
            """
            The OAuth2 scopes that would be required by the *path operations* that
            use this dependency.
            """
        ),
    ] = None,
    description: Annotated[
        Optional[str],
        Doc(
            """
            Security scheme description.

            It will be included in the generated OpenAPI (e.g. visible at `/docs`).
            """
        ),
    ] = None,
    auto_error: Annotated[
        bool,
        Doc(
            """
            By default, if no HTTP Authorization header is provided, required for
            OAuth2 authentication, it will automatically cancel the request and
            send the client an error.

            If `auto_error` is set to `False`, when the HTTP Authorization header
            is not available, instead of erroring out, the dependency result will
            be `None`.

            This is useful when you want to have optional authentication.

            It is also useful when you want to have authentication that can be
            provided in one of multiple optional ways (for example, with OAuth2
            or in a cookie).
            """
        ),
    ] = True,
):
    if not scopes:
        scopes = {}
    flows = OAuthFlowsModel(
        password=cast(Any, {"tokenUrl": tokenUrl, "scopes": scopes})
    )
    super().__init__(
        flows=flows,
        scheme_name=scheme_name,
        description=description,
        auto_error=auto_error,
    )

model instance-attribute

model = OAuth2(
    flows=cast(OAuthFlows, flows), description=description
)

scheme_name instance-attribute

scheme_name = scheme_name or __name__

auto_error instance-attribute

auto_error = auto_error

OAuth2 密码表单

fastapi.security.OAuth2PasswordRequestForm

OAuth2PasswordRequestForm(
    *,
    grant_type=None,
    username,
    password,
    scope="",
    client_id=None,
    client_secret=None
)

这是一个依赖项类，用于为 OAuth2 密码流程收集 username 和 password 作为表单数据。

OAuth2 规范规定，对于密码流程，数据应使用表单数据（而不是 JSON）收集，并且应具有特定字段 username 和 password。

所有初始化参数都从请求中提取。

在 FastAPI 简单 OAuth2 与密码和承载文档 中了解更多信息。

示例

from typing import Annotated

from fastapi import Depends, FastAPI
from fastapi.security import OAuth2PasswordRequestForm

app = FastAPI()


@app.post("/login")
def login(form_data: Annotated[OAuth2PasswordRequestForm, Depends()]):
    data = {}
    data["scopes"] = []
    for scope in form_data.scopes:
        data["scopes"].append(scope)
    if form_data.client_id:
        data["client_id"] = form_data.client_id
    if form_data.client_secret:
        data["client_secret"] = form_data.client_secret
    return data

请注意，对于 OAuth2，范围 items:read 是不透明字符串中的单个范围。您可以在内部逻辑中使用冒号字符 (:) 等对其进行分割，并获得两个部分 items 和 read。许多应用程序这样做来分组和组织权限，您也可以在您的应用程序中这样做，只是要知道它是特定于应用程序的，它不是规范的一部分。

参数	描述
grant_type	OAuth2 规范说它是必需的，并且必须是固定字符串“password”。尽管如此，此依赖项类是宽容的，允许不传递它。如果您想强制执行它，请改用 OAuth2PasswordRequestFormStrict 依赖项。 TYPE: Union[str, None] DEFAULT: None
username	username 字符串。OAuth2 规范要求确切的字段名称 username。 類型： str
password	password 字符串。OAuth2 规范要求确切的字段名称 `password"。 類型： str
scope	一个包含实际多个范围的单个字符串，这些范围用空格隔开。每个范围也是一个字符串。 例如，包含以下内容的单个字符串： ```python "items:read items:write users:read profile openid" ```` 将代表以下范围： items:read items:write users:read profile openid TYPE: str DEFAULT: ''
client_id	如果有 client_id，它可以作为表单字段的一部分发送。但 OAuth2 规范建议使用 HTTP Basic 身份验证发送 client_id 和 client_secret（如果有）。 TYPE: Union[str, None] DEFAULT: None
client_secret	如果有 client_password（和 client_id），它们可以作为表单字段的一部分发送。但 OAuth2 规范建议使用 HTTP Basic 身份验证发送 client_id 和 client_secret（如果有）。 TYPE: Union[str, None] DEFAULT: None

源代码位于 fastapi/security/oauth2.py 中

def __init__(
    self,
    *,
    grant_type: Annotated[
        Union[str, None],
        Form(pattern="password"),
        Doc(
            """
            The OAuth2 spec says it is required and MUST be the fixed string
            "password". Nevertheless, this dependency class is permissive and
            allows not passing it. If you want to enforce it, use instead the
            `OAuth2PasswordRequestFormStrict` dependency.
            """
        ),
    ] = None,
    username: Annotated[
        str,
        Form(),
        Doc(
            """
            `username` string. The OAuth2 spec requires the exact field name
            `username`.
            """
        ),
    ],
    password: Annotated[
        str,
        Form(),
        Doc(
            """
            `password` string. The OAuth2 spec requires the exact field name
            `password".
            """
        ),
    ],
    scope: Annotated[
        str,
        Form(),
        Doc(
            """
            A single string with actually several scopes separated by spaces. Each
            scope is also a string.

            For example, a single string with:

            ```python
            "items:read items:write users:read profile openid"
            ````

            would represent the scopes:

            * `items:read`
            * `items:write`
            * `users:read`
            * `profile`
            * `openid`
            """
        ),
    ] = "",
    client_id: Annotated[
        Union[str, None],
        Form(),
        Doc(
            """
            If there's a `client_id`, it can be sent as part of the form fields.
            But the OAuth2 specification recommends sending the `client_id` and
            `client_secret` (if any) using HTTP Basic auth.
            """
        ),
    ] = None,
    client_secret: Annotated[
        Union[str, None],
        Form(),
        Doc(
            """
            If there's a `client_password` (and a `client_id`), they can be sent
            as part of the form fields. But the OAuth2 specification recommends
            sending the `client_id` and `client_secret` (if any) using HTTP Basic
            auth.
            """
        ),
    ] = None,
):
    self.grant_type = grant_type
    self.username = username
    self.password = password
    self.scopes = scope.split()
    self.client_id = client_id
    self.client_secret = client_secret

grant_type instance-attribute

grant_type = grant_type

username instance-attribute

username = username

password instance-attribute

password = password

scopes instance-attribute

scopes = split()

client_id instance-attribute

client_id = client_id

client_secret instance-attribute

client_secret = client_secret

fastapi.security.OAuth2PasswordRequestFormStrict

OAuth2PasswordRequestFormStrict(
    grant_type,
    username,
    password,
    scope="",
    client_id=None,
    client_secret=None,
)

继承自：OAuth2PasswordRequestForm

这是一个依赖项类，用于为 OAuth2 密码流程收集 username 和 password 作为表单数据。

OAuth2 规范规定，对于密码流程，数据应使用表单数据（而不是 JSON）收集，并且应具有特定字段 username 和 password。

所有初始化参数都从请求中提取。

OAuth2PasswordRequestFormStrict 和 OAuth2PasswordRequestForm 之间的唯一区别是，OAuth2PasswordRequestFormStrict 要求客户端发送表单字段 grant_type，其值为 "password"，这是 OAuth2 规范中要求的（似乎没有特别的原因），而对于 OAuth2PasswordRequestForm，grant_type 是可选的。

在 FastAPI 简单 OAuth2 与密码和承载文档 中了解更多信息。

示例

from typing import Annotated

from fastapi import Depends, FastAPI
from fastapi.security import OAuth2PasswordRequestForm

app = FastAPI()


@app.post("/login")
def login(form_data: Annotated[OAuth2PasswordRequestFormStrict, Depends()]):
    data = {}
    data["scopes"] = []
    for scope in form_data.scopes:
        data["scopes"].append(scope)
    if form_data.client_id:
        data["client_id"] = form_data.client_id
    if form_data.client_secret:
        data["client_secret"] = form_data.client_secret
    return data

请注意，对于 OAuth2，范围 items:read 是不透明字符串中的单个范围。您可以在内部逻辑中使用冒号字符 (:) 等对其进行分割，并获得两个部分 items 和 read。许多应用程序这样做来分组和组织权限，您也可以在您的应用程序中这样做，只是要知道它是特定于应用程序的，它不是规范的一部分。

OAuth2 规范规定它必须是固定字符串 "password"。

此依赖关系对此很严格。如果要宽容，请使用 OAuth2PasswordRequestForm 依赖关系类。

username: 用户名字符串。 OAuth2 规范要求使用确切的字段名 "username"。 password: 密码字符串。 OAuth2 规范要求使用确切的字段名 "password"。 scope: 可选字符串。 由空格分隔的多个范围（每个范围都是一个字符串）。 例如 "items:read items:write users:read profile openid" client_id: 可选字符串。 OAuth2 建议使用 HTTP 基本身份验证发送 client_id 和 client_secret（如果有）：client_id:client_secret client_secret: 可选字符串。 OAuth2 建议使用 HTTP 基本身份验证发送 client_id 和 client_secret（如果有）：client_id:client_secret

参数	描述
grant_type	OAuth2 规范规定它必须是固定字符串 "password"。此依赖关系对此很严格。如果要宽容，请使用 OAuth2PasswordRequestForm 依赖关系类。 類型： str
username	username 字符串。OAuth2 规范要求确切的字段名称 username。 類型： str
password	password 字符串。OAuth2 规范要求确切的字段名称 `password"。 類型： str
scope	一个包含实际多个范围的单个字符串，这些范围用空格隔开。每个范围也是一个字符串。 例如，包含以下内容的单个字符串： ```python "items:read items:write users:read profile openid" ```` 将代表以下范围： items:read items:write users:read profile openid TYPE: str DEFAULT: ''
client_id	如果有 client_id，它可以作为表单字段的一部分发送。但 OAuth2 规范建议使用 HTTP Basic 身份验证发送 client_id 和 client_secret（如果有）。 TYPE: Union[str, None] DEFAULT: None
client_secret	如果有 client_password（和 client_id），它们可以作为表单字段的一部分发送。但 OAuth2 规范建议使用 HTTP Basic 身份验证发送 client_id 和 client_secret（如果有）。 TYPE: Union[str, None] DEFAULT: None

源代码位于 fastapi/security/oauth2.py 中

def __init__(
    self,
    grant_type: Annotated[
        str,
        Form(pattern="password"),
        Doc(
            """
            The OAuth2 spec says it is required and MUST be the fixed string
            "password". This dependency is strict about it. If you want to be
            permissive, use instead the `OAuth2PasswordRequestForm` dependency
            class.
            """
        ),
    ],
    username: Annotated[
        str,
        Form(),
        Doc(
            """
            `username` string. The OAuth2 spec requires the exact field name
            `username`.
            """
        ),
    ],
    password: Annotated[
        str,
        Form(),
        Doc(
            """
            `password` string. The OAuth2 spec requires the exact field name
            `password".
            """
        ),
    ],
    scope: Annotated[
        str,
        Form(),
        Doc(
            """
            A single string with actually several scopes separated by spaces. Each
            scope is also a string.

            For example, a single string with:

            ```python
            "items:read items:write users:read profile openid"
            ````

            would represent the scopes:

            * `items:read`
            * `items:write`
            * `users:read`
            * `profile`
            * `openid`
            """
        ),
    ] = "",
    client_id: Annotated[
        Union[str, None],
        Form(),
        Doc(
            """
            If there's a `client_id`, it can be sent as part of the form fields.
            But the OAuth2 specification recommends sending the `client_id` and
            `client_secret` (if any) using HTTP Basic auth.
            """
        ),
    ] = None,
    client_secret: Annotated[
        Union[str, None],
        Form(),
        Doc(
            """
            If there's a `client_password` (and a `client_id`), they can be sent
            as part of the form fields. But the OAuth2 specification recommends
            sending the `client_id` and `client_secret` (if any) using HTTP Basic
            auth.
            """
        ),
    ] = None,
):
    super().__init__(
        grant_type=grant_type,
        username=username,
        password=password,
        scope=scope,
        client_id=client_id,
        client_secret=client_secret,
    )

grant_type instance-attribute

grant_type = grant_type

username instance-attribute

username = username

password instance-attribute

password = password

scopes instance-attribute

scopes = split()

client_id instance-attribute

client_id = client_id

client_secret instance-attribute

client_secret = client_secret

依赖项中的 OAuth2 安全范围

fastapi.security.SecurityScopes

SecurityScopes(scopes=None)

这是一个特殊类，您可以在依赖项中的参数中定义它，以获取同一链中所有依赖项所需的 OAuth2 范围。

这样，即使在同一个路径操作中使用，多个依赖项也可以具有不同的范围。通过这种方式，您可以访问单个位置中所有这些依赖项所需的全部范围。

在FastAPI OAuth2 范围文档中了解更多信息。

参数	描述
scopes	这将由 FastAPI 填充。 TYPE: Optional[List[str]] DEFAULT: None

源代码位于 fastapi/security/oauth2.py 中

def __init__(
    self,
    scopes: Annotated[
        Optional[List[str]],
        Doc(
            """
            This will be filled by FastAPI.
            """
        ),
    ] = None,
):
    self.scopes: Annotated[
        List[str],
        Doc(
            """
            The list of all the scopes required by dependencies.
            """
        ),
    ] = scopes or []
    self.scope_str: Annotated[
        str,
        Doc(
            """
            All the scopes required by all the dependencies in a single string
            separated by spaces, as defined in the OAuth2 specification.
            """
        ),
    ] = " ".join(self.scopes)

scopes instance-attribute

scopes = scopes or []

依赖项所需的所有范围的列表。

scope_str instance-attribute

scope_str = join(scopes)

所有依赖项所需的所有范围，以 OAuth2 规范中定义的单个字符串形式，用空格分隔。

OpenID Connect

fastapi.security.OpenIdConnect

OpenIdConnect(
    *,
    openIdConnectUrl,
    scheme_name=None,
    description=None,
    auto_error=True
)

基类：SecurityBase

OpenID Connect 身份验证类。它的一个实例将用作依赖项。

参数	描述
openIdConnectUrl	OpenID Connect URL。 類型： str
scheme_name	安全方案名稱。 它將包含在生成的 OpenAPI 中（例如，在 /docs 可見）。 類型： 可選[str] 默認值： 無
description	安全方案描述。 它將包含在生成的 OpenAPI 中（例如，在 /docs 可見）。 類型： 可選[str] 默認值： 無
auto_error	默认情况下，如果未提供 HTTP Authorization 标头（OpenID Connect 身份验证所需），它将自动取消请求并向客户端发送错误。 如果 auto_error 设置为 False，则当 HTTP 授权标头不可用时，依赖项结果将为 None，而不是出错。 這在您想要實現可選身份驗證時很有用。 当您希望使用多种可选方式之一进行身份验证（例如，使用 OpenID Connect 或在 cookie 中）时，它也很有用。 類型： bool 默認值： True

源代码位于 fastapi/security/open_id_connect_url.py 中

def __init__(
    self,
    *,
    openIdConnectUrl: Annotated[
        str,
        Doc(
            """
        The OpenID Connect URL.
        """
        ),
    ],
    scheme_name: Annotated[
        Optional[str],
        Doc(
            """
            Security scheme name.

            It will be included in the generated OpenAPI (e.g. visible at `/docs`).
            """
        ),
    ] = None,
    description: Annotated[
        Optional[str],
        Doc(
            """
            Security scheme description.

            It will be included in the generated OpenAPI (e.g. visible at `/docs`).
            """
        ),
    ] = None,
    auto_error: Annotated[
        bool,
        Doc(
            """
            By default, if no HTTP Authorization header is provided, required for
            OpenID Connect authentication, it will automatically cancel the request
            and send the client an error.

            If `auto_error` is set to `False`, when the HTTP Authorization header
            is not available, instead of erroring out, the dependency result will
            be `None`.

            This is useful when you want to have optional authentication.

            It is also useful when you want to have authentication that can be
            provided in one of multiple optional ways (for example, with OpenID
            Connect or in a cookie).
            """
        ),
    ] = True,
):
    self.model = OpenIdConnectModel(
        openIdConnectUrl=openIdConnectUrl, description=description
    )
    self.scheme_name = scheme_name or self.__class__.__name__
    self.auto_error = auto_error

model instance-attribute

model = OpenIdConnect(
    openIdConnectUrl=openIdConnectUrl,
    description=description,
)

scheme_name instance-attribute

scheme_name = scheme_name or __name__

auto_error instance-attribute

auto_error = auto_error