Einen perfekten Blog mit FastAPI erstellen: Autorisierung hinzufügen
Lukas Schneider
DevOps Engineer · Leapcell
Im vorherigen Artikel haben wir erfolgreich ein Benutzeregistrierungssystem und grundlegende Anmeldevalidierungslogik für unseren FastAPI-Blog aufgebaut. Benutzer können Konten erstellen, und die Anwendung kann ihre Benutzernamen und Passwörter überprüfen.
Die aktuelle Anmeldung ist jedoch nur eine einmalige Validierung; der Server "erinnert" sich nicht an den Anmeldestatus des Benutzers. Jedes Mal, wenn die Seite aktualisiert oder eine neue Seite besucht wird, wird der Benutzer wieder zu einem nicht authentifizierten Gast.
In diesem Artikel werden wir Middleware verwenden, um ein echtes Anmeldestatusmanagement für unseren Blog zu implementieren. Wir lernen, wie man Seiten und Funktionen schützt, die eine Anmeldung erfordern, und wie man die Benutzeroberfläche basierend auf dem Anmeldestatus des Benutzers dynamisch aktualisiert.
Sitzungen konfigurieren
Zur Verwaltung von Sitzungen in FastAPI verwenden wir Starlettes SessionMiddleware. Starlette ist das ASGI-Framework, auf dem FastAPI aufbaut, und SessionMiddleware ist das offizielle Standardwerkzeug für die Sitzungsverwaltung.
Installieren Sie zuerst die itsdangerous-Bibliothek. SessionMiddleware verwendet sie, um Sitzungsdaten kryptografisch zu signieren und so deren Sicherheit zu gewährleisten.
pip install itsdangerous
Fügen Sie es dann Ihrer requirements.txt-Datei hinzu:
# requirements.txt fastapi uvicorn[standard] sqlmodel psycopg2-binary jinja2 python-dotenv python-multipart bcrypt itsdangerous
Redis zur Speicherung von Sitzungen verwenden
Standardmäßig verschlüsselt SessionMiddleware Sitzungsdaten und speichert sie in einem clientseitigen Cookie. Dieser Ansatz ist einfach und erfordert keine Backend-Speicherung, hat aber den Nachteil einer begrenzten Cookie-Größe (typischerweise 4 KB), was ihn für die Speicherung großer Datenmengen ungeeignet macht.
Für bessere Skalierbarkeit und Sicherheit verwenden wir Redis, eine Hochleistungs-In-Memory-Datenbank, um Sitzungen serverseitig zu speichern. Dies stellt sicher, dass der Anmeldestatus erhalten bleibt, auch wenn der Benutzer den Browser schließt oder der Server neu startet.
Was, wenn Sie kein Redis haben?
Sie können eine Redis-Instanz auf Leapcell erstellen. Leapcell bietet die meisten Tools, die Sie für eine Backend-Anwendung benötigen!
Klicken Sie in der Benutzeroberfläche auf die Schaltfläche "Redis erstellen", um eine neue Redis-Instanz zu erstellen.
Die Redis-Detailseite bietet eine Online-CLI, über die Sie Redis-Befehle direkt ausführen können.
Wenn Sie derzeit keinen Redis-Dienst zur Verfügung haben, verwendet SessionMiddleware standardmäßig signierte Cookies. Für dieses Tutorial wird die Funktionalität nicht beeinträchtigt.
Installieren Sie die Redis-bezogene Abhängigkeit:
pip install redis
Öffnen Sie nun die Datei main.py, um SessionMiddleware zu importieren und zu konfigurieren.
# main.py import os from contextlib import asynccontextmanager from fastapi import FastAPI from fastapi.staticfiles import StaticFiles from starlette.middleware.sessions import SessionMiddleware # Importieren Sie die Middleware from dotenv import load_dotenv from database import create_db_and_tables from routers import posts, users, auth # Umgebungsvariablen laden load_dotenv() @asynccontextmanager async def lifespan(app: FastAPI): print("Creating tables..") create_db_and_tables() yield app = FastAPI(lifespan=lifespan) # Den geheimen Schlüssel aus Umgebungsvariablen lesen # Stellen Sie sicher, dass "your-secret-key" durch eine wirklich sichere Zufallszeichenfolge ersetzt wird. Sie können eine mit `openssl rand -hex 32` generieren. SECRET_KEY = os.getenv("SECRET_KEY", "your-secret-key") # SessionMiddleware hinzufügen app.add_middleware( SessionMiddleware, secret_key=SECRET_KEY, session_cookie="session_id", # Der Name der Sitzungs-ID, die im Cookie gespeichert wird max_age=60 * 60 * 24 * 7 # Sitzung läuft nach 7 Tagen ab ) # Statische Dateien Verzeichnis einhängen app.mount("/static", StaticFiles(directory="public"), name="static") # Router einbinden app.include_router(posts.router) app.include_router(users.router) app.include_router(auth.router)
Hinweis: Aus Sicherheitsgründen sollte der secret_key eine komplexe, zufällig generierte Zeichenfolge sein. Wie die Datenbank-URL sollte er über Umgebungsvariablen verwaltet und nicht hartcodiert werden.
Nach der Konfiguration verarbeitet SessionMiddleware automatisch jede Anfrage, analysiert Sitzungsdaten aus dem Cookie der Anfrage und heftet sie an das request.session-Objekt zur Verwendung an.
Implementierung von echten Login- und Logout-Routen
Als Nächstes aktualisieren wir routers/auth.py, um die tatsächliche Login- und Logout-Logik zu verarbeiten.
# routers/auth.py from fastapi import APIRouter, Request, Depends, Form, HTTPException from fastapi.responses import HTMLResponse, RedirectResponse from fastapi.templating import Jinja2Templates from sqlmodel import Session from database import get_session import auth_service router = APIRouter() templates = Jinja2Templates(directory="templates") @router.get("/auth/login", response_class=HTMLResponse) def show_login_form(request: Request): return templates.TemplateResponse("login.html", {"request": request, "title": "Login"}) @router.post("/auth/login") def login( request: Request, # Injizieren Sie das Request-Objekt, um auf die Sitzung zuzugreifen username: str = Form(...), password: str = Form(...), session: Session = Depends(get_session) ): user = auth_service.validate_user(username, password, session) if not user: raise HTTPException(status_code=401, detail="Incorrect username or password") # Validierung erfolgreich, Benutzerinformationen in der Sitzung speichern # SessionMiddleware kümmert sich automatisch um die anschließende Verschlüsselung und Cookie-Setzung request.session["user"] = {"username": user.username, "id": str(user.id)} return RedirectResponse(url="/posts", status_code=302) @router.get("/auth/logout") def logout(request: Request): # Sitzung löschen request.session.clear() return RedirectResponse(url="/", status_code=302)
In der login-Funktion speichern wir nach erfolgreicher Validierung des Benutzers ein Wörterbuch mit grundlegenden Benutzerinformationen in request.session["user"]. SessionMiddleware verschlüsselt und signiert diese Sitzungsdaten automatisch und setzt ein Cookie im Browser, das diese enthält. Der Browser enthält dieses Cookie dann automatisch bei allen nachfolgenden Anfragen, sodass der Server den Anmeldestatus des Benutzers erkennen kann.
In der logout-Funktion rufen wir request.session.clear() auf, was die Sitzungsdaten löscht und den Benutzer effektiv abmeldet.
Routen schützen und die Benutzeroberfläche aktualisieren
Nachdem wir nun einen Anmeldemechanismus haben, ist der letzte Schritt, ihn zum Schutz unseres "Beitrag erstellen"-Features zu verwenden und verschiedene Benutzeroberflächenelemente basierend auf dem Anmeldestatus anzuzeigen.
Erstellen einer Authentifizierungsabhängigkeit
In FastAPI ist der eleganteste Weg, Routen zu schützen, die Verwendung von Dependency Injection. Wir erstellen eine Abhängigkeitsfunktion, um zu überprüfen, ob ein Benutzer angemeldet ist.
Erstellen Sie im Stammverzeichnis des Projekts eine neue Datei namens auth_dependencies.py:
# auth_dependencies.py from fastapi import Request, Depends, HTTPException, status from fastapi.responses import RedirectResponse def login_required(request: Request): """ Eine Abhängigkeit zur Überprüfung, ob der Benutzer angemeldet ist. Wenn nicht angemeldet, Umleitung zur Anmeldeseite. """ if not request.session.get("user"): # Sie können auch eine HTTPException auslösen # raise HTTPException(status_code=status.HTTP_401_UNAUTHORIZED, detail="Not authenticated") return RedirectResponse(url="/auth/login", status_code=status.HTTP_302_FOUND) return request.session.get("user") def get_user_from_session(request: Request) -> dict | None: """ Ruft Benutzerinformationen aus der Sitzung ab (falls vorhanden). Diese Abhängigkeit erzwingt keine Anmeldung, sie dient nur dem bequemen Abrufen von Benutzerinformationen in Vorlagen. """ return request.session.get("user")
Die Logik der ersten Funktion, login_required, ist einfach: Wenn user nicht in request.session vorhanden ist, wird der Benutzer zur Anmeldeseite umgeleitet. Wenn sie vorhanden ist, gibt sie die Benutzerinformationen zurück, sodass die Routenfunktion sie direkt verwenden kann.
Anwenden der Abhängigkeit
Öffnen Sie routers/posts.py und wenden Sie die login_required-Abhängigkeit auf die Routen an, die geschützt werden müssen.
# routers/posts.py import uuid from fastapi import APIRouter, Request, Depends, Form from fastapi.responses import HTMLResponse, RedirectResponse from fastapi.templating import Jinja2Templates from sqlmodel import Session, select from database import get_session from models import Post from auth_dependencies import login_required # Importieren Sie die Abhängigkeit router = APIRouter() templates = Jinja2Templates(directory="templates") # ... andere Routen ... # Wenden Sie die Abhängigkeit an, um diese Route zu schützen @router.get("/posts/new", response_class=HTMLResponse) def new_post_form(request: Request, user: dict = Depends(login_required)): return templates.TemplateResponse("new-post.html", {"request": request, "title": "New Post", "user": user}) # Wenden Sie die Abhängigkeit an, um diese Route zu schützen @router.post("/posts", response_class=HTMLResponse) def create_post( title: str = Form(...), content: str = Form(...), session: Session = Depends(get_session), user: dict = Depends(login_required) # Stellen Sie sicher, dass nur angemeldete Benutzer Beiträge erstellen können ): new_post = Post(title=title, content=content) session.add(new_post) session.commit() return RedirectResponse(url="/posts", status_code=302) # ... andere Routen ...
Wenn nun ein nicht authentifizierter Benutzer versucht, auf /posts/new zuzugreifen, wird er automatisch zur Anmeldeseite umgeleitet.
Aktualisieren der Frontend-Benutzeroberfläche
Schließlich aktualisieren wir die Benutzeroberfläche, um verschiedene Schaltflächen basierend auf dem Anmeldestatus des Benutzers anzuzeigen. Wir verwenden die Abhängigkeit get_user_from_session, um Benutzerinformationen abzurufen und sie an die Vorlagen zu übergeben.
Ändern Sie templates/_header.html:
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8" /> <meta name="viewport" content="width=device-width, initial-scale=1.0" /> <title>{{ title }}</title> <link rel="stylesheet" href="/static/css/style.css" /> </head> <body> <header> <h1><a href="/">My Blog</a></h1> <nav> {% if user %} <span class="welcome-msg">Welcome, {{ user.username }}</span> <a href="/posts/new" class="new-post-btn">New Post</a> <a href="/auth/logout" class="nav-link">Logout</a> {% else %} <a href="/users/register" class="nav-link">Register</a> <a href="/auth/login" class="nav-link">Login</a> {% endif %} </nav> </header> <main>
Damit die obige Vorlage korrekt funktioniert, müssen wir alle Routen, die Seiten rendern, mit den Benutzerinformationen für die Ansicht aktualisieren.
Ändern Sie in routers/posts.py alle Methoden, die Ansichten rendern:
# routers/posts.py # ... Imports ... from auth_dependencies import get_user_from_session, login_required # Importieren Sie die neuen Abhängigkeiten # ... @router.get("/", response_class=HTMLResponse) def root(): return RedirectResponse(url="/posts", status_code=302) @router.get("/posts", response_class=HTMLResponse) def get_all_posts( request: Request, session: Session = Depends(get_session), user: dict | None = Depends(get_user_from_session) # Sitzungsbenutzerinformationen abrufen ): statement = select(Post).order_by(Post.createdAt.desc()) posts = session.exec(statement).all() # Benutzer an die Vorlage übergeben return templates.TemplateResponse("index.html", {"request": request, "posts": posts, "title": "Home", "user": user}) # ... new_post_form route wurde oben aktualisiert ... @router.get("/posts/{post_id}", response_class=HTMLResponse) def get_post_by_id( request: Request, post_id: uuid.UUID, session: Session = Depends(get_session), user: dict | None = Depends(get_user_from_session) # Sitzungsbenutzerinformationen abrufen ): post = session.get(Post, post_id) # Benutzer an die Vorlage übergeben return templates.TemplateResponse("post.html", {"request": request, "post": post, "title": post.title, "user": user})
Ebenso müssen wir auch die Vorlagen-Rendering-Routen in routers/users.py und routers/auth.py aktualisieren, indem wir user: dict | None = Depends(get_user_from_session) hinzufügen und den user an die Vorlage übergeben.
Ausführen und Testen
Starten Sie nun Ihre Anwendung neu:
uvicorn main:app --reload
Besuchen Sie http://localhost:8000. Sie sollten oben rechts die Schaltflächen "Anmelden" und "Registrieren" sehen.
Versuchen Sie, http://localhost:8000/posts/new aufzurufen. Sie werden automatisch zur Anmeldeseite weitergeleitet.
Registrieren Sie sich nun und melden Sie sich an. Nach erfolgreicher Anmeldung werden Sie zur Homepage weitergeleitet, und Sie sehen oben rechts die Schaltflächen "Willkommen, [Ihr Benutzername]", "Neuer Beitrag" und "Abmelden".
An dieser Stelle können Sie auf "Neuer Beitrag" klicken, um einen neuen Artikel zu erstellen. Wenn Sie sich abmelden und versuchen, erneut auf /posts/new zuzugreifen, werden Sie wieder weitergeleitet.
Damit haben wir ein vollständiges Benutzerauthentifizierungssystem zu unserem Blog hinzugefügt. Sie müssen sich keine Sorgen mehr machen, dass Ihre Freunde mit Ihrem Blog herumspielen!
Share this article
![x](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm16 17.537h10.125l6.992 9.242 8.084-9.242h4.908L35.39 29.79 48 46.463h-9.875l-7.734-10.111-8.85 10.11h-4.908l11.465-13.105zm5.73 2.783 17.75 23.205h2.72L24.647 20.32z" /></g><g fill="%23000000"><path d="M0 0v64h64V0zm16 17.537h10.125l6.992 9.242 8.084-9.242h4.908L35.39 29.79 48 46.463h-9.875l-7.734-10.111-8.85 10.11h-4.908l11.465-13.105zm5.73 2.783 17.75 23.205h2.72L24.647 20.32z" /></g></svg>){kind=small}
![facebook](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm39.6 22h-2.8c-2.2 0-2.6 1.1-2.6 2.6V28h5.3l-.7 5.3h-4.6V47h-5.5V33.3H24V28h4.6v-4c0-4.6 2.8-7 6.9-7 2 0 3.6.1 4.1.2z" /></g><g fill="%233b5998"><path d="M0 0v64h64V0zm39.6 22h-2.8c-2.2 0-2.6 1.1-2.6 2.6V28h5.3l-.7 5.3h-4.6V47h-5.5V33.3H24V28h4.6v-4c0-4.6 2.8-7 6.9-7 2 0 3.6.1 4.1.2z" /></g></svg>){kind=small}
![linkedin](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm25.8 44h-5.4V26.6h5.4zm-2.7-19.7c-1.7 0-3.1-1.4-3.1-3.1s1.4-3.1 3.1-3.1 3.1 1.4 3.1 3.1-1.4 3.1-3.1 3.1M46 44h-5.4v-8.4c0-2 0-4.6-2.8-4.6s-3.2 2.2-3.2 4.5V44h-5.4V26.6h5.2V29h.1c.7-1.4 2.5-2.8 5.1-2.8 5.5 0 6.5 3.6 6.5 8.3V44z" /></g><g fill="%23007fb1"><path d="M0 0v64h64V0zm25.8 44h-5.4V26.6h5.4zm-2.7-19.7c-1.7 0-3.1-1.4-3.1-3.1s1.4-3.1 3.1-3.1 3.1 1.4 3.1 3.1-1.4 3.1-3.1 3.1M46 44h-5.4v-8.4c0-2 0-4.6-2.8-4.6s-3.2 2.2-3.2 4.5V44h-5.4V26.6h5.2V29h.1c.7-1.4 2.5-2.8 5.1-2.8 5.5 0 6.5 3.6 6.5 8.3V44z" /></g></svg>){kind=small}
![reddit](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm53.344 32a4.67 4.67 0 0 0-7.903-3.2 22.77 22.77 0 0 0-12.32-3.937L35.2 14.88l6.848 1.441a3.2 3.2 0 0 0 3.02 2.852 3.2 3.2 0 1 0-2.602-4.805l-7.84-1.566a1 1 0 0 0-.754.136.98.98 0 0 0-.43.63l-2.37 11.105a22.8 22.8 0 0 0-12.477 3.937 4.672 4.672 0 1 0-5.152 7.648q-.06.704 0 1.407c0 7.168 8.351 12.992 18.656 12.992 10.3 0 18.656-5.824 18.656-12.992a9.4 9.4 0 0 0 0-1.406A4.68 4.68 0 0 0 53.344 32m-32 3.2a3.198 3.198 0 1 1 6.398 0 3.195 3.195 0 0 1-3.199 3.198c-1.766 0-3.2-1.43-3.2-3.199M39.938 44a12.3 12.3 0 0 1-7.907 2.465A12.3 12.3 0 0 1 24.13 44a.87.87 0 0 1 .055-1.16.87.87 0 0 1 1.16-.055A10.48 10.48 0 0 0 32 44.801a10.5 10.5 0 0 0 6.688-1.953.9.9 0 0 1 1.265.015.9.9 0 0 1-.016 1.266Zm-.579-5.473a3.2 3.2 0 0 1-3.199-3.199 3.198 3.198 0 1 1 6.398 0 3.2 3.2 0 0 1-3.23 3.328Zm0 0" /></g><g fill="%23FF4500"><path d="M0 0v64h64V0zm53.344 32a4.67 4.67 0 0 0-7.903-3.2 22.77 22.77 0 0 0-12.32-3.937L35.2 14.88l6.848 1.441a3.2 3.2 0 0 0 3.02 2.852 3.2 3.2 0 1 0-2.602-4.805l-7.84-1.566a1 1 0 0 0-.754.136.98.98 0 0 0-.43.63l-2.37 11.105a22.8 22.8 0 0 0-12.477 3.937 4.672 4.672 0 1 0-5.152 7.648q-.06.704 0 1.407c0 7.168 8.351 12.992 18.656 12.992 10.3 0 18.656-5.824 18.656-12.992a9.4 9.4 0 0 0 0-1.406A4.68 4.68 0 0 0 53.344 32m-32 3.2a3.198 3.198 0 1 1 6.398 0 3.195 3.195 0 0 1-3.199 3.198c-1.766 0-3.2-1.43-3.2-3.199M39.938 44a12.3 12.3 0 0 1-7.907 2.465A12.3 12.3 0 0 1 24.13 44a.87.87 0 0 1 .055-1.16.87.87 0 0 1 1.16-.055A10.48 10.48 0 0 0 32 44.801a10.5 10.5 0 0 0 6.688-1.953.9.9 0 0 1 1.265.015.9.9 0 0 1-.016 1.266Zm-.579-5.473a3.2 3.2 0 0 1-3.199-3.199 3.198 3.198 0 1 1 6.398 0 3.2 3.2 0 0 1-3.23 3.328Zm0 0" /></g></svg>){kind=small}
![telegram](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewbox="0 0 64 64" width="64" height="64" fill-rule="evenodd"><g fill="%23ffffff"><path d="M0,0H64V64H0ZM0 0v64h64V0zm11.887 33.477c3.73-2.055 7.894-3.77 11.785-5.497 6.695-2.824 13.414-5.597 20.203-8.18 1.324-.44 3.695-.87 3.93 1.087-.13 2.773-.653 5.527-1.012 8.281-.914 6.055-1.969 12.094-2.996 18.133-.356 2.008-2.875 3.05-4.488 1.761-3.871-2.613-7.778-5.207-11.598-7.882-1.254-1.274-.094-3.102 1.027-4.012 3.188-3.145 6.575-5.816 9.598-9.121.816-1.973-1.594-.313-2.39.2-4.368 3.007-8.63 6.202-13.235 8.847-2.352 1.297-5.094.187-7.445-.535-2.11-.871-5.2-1.75-3.38-3.082m0 0" /></g><g fill="%2349a9e9"><path d="M0 0v64h64V0zm11.887 33.477c3.73-2.055 7.894-3.77 11.785-5.497 6.695-2.824 13.414-5.597 20.203-8.18 1.324-.44 3.695-.87 3.93 1.087-.13 2.773-.653 5.527-1.012 8.281-.914 6.055-1.969 12.094-2.996 18.133-.356 2.008-2.875 3.05-4.488 1.761-3.871-2.613-7.778-5.207-11.598-7.882-1.254-1.274-.094-3.102 1.027-4.012 3.188-3.145 6.575-5.816 9.598-9.121.816-1.973-1.594-.313-2.39.2-4.368 3.007-8.63 6.202-13.235 8.847-2.352 1.297-5.094.187-7.445-.535-2.11-.871-5.2-1.75-3.38-3.082m0 0" /></g></svg>){kind=small}
