依存関係インジェクションを使用した FastAPI 認証-Python チュートリアル-php.cn

ホームページ

バックエンド開発

Python チュートリアル

依存関係インジェクションを使用した FastAPI 認証

Patricia Arquette

Sep 24, 2024 am 06:21 AM

FastAPI Auth with Dependency Injection

FastAPI は、Python で API を構築するための最新の Web フレームワークです。これは、OpenAPI 仕様のサポートが組み込まれており (つまり、バックエンドコードを記述し、そこからすべてを生成できます)、依存関係の注入 をサポートしているため、私の個人的なお気に入りの Web フレームワークの 1 つです。

この投稿では、FastAPI の depends がどのように機能するかを簡単に説明します。次に、なぜそれが認証と認可にうまく当てはまるのかを見ていきます。また、認証のもう 1 つの一般的なオプションであるミドルウェアとの対比も行います。最後に、FastAPI でのより高度な承認パターンをいくつか見ていきます。

依存関係の注入とは何ですか?

FastAPI のより強力な機能の 1 つは、依存関係の注入 のファーストクラスのサポートです。 こちらには長いガイドがありますが、その使用方法の簡単な例を見てみましょう。

ページ分割された API を構築しているとします。各 API 呼び出しには、page_number と page_size が含まれる場合があります。ここで、API を作成してこれらのパラメータを直接取り込むことができます。

@app.get("/things/")
async def fetch_things(page_number: int = 0, page_size: int = 100):
    return db.fetch_things(page_number, page_size)

しかし、おそらく、誰も page_number -1 や page_size 10,000,000 を要求しないように、いくつかの検証ロジックを追加したいと考えています。

@app.get("/things/")
async def fetch_things(page_number: int = 0, page_size: int = 100):
    if page_number  100:
        raise HTTPException(status_code=400, detail="Page size can be at most 100")
    return db.fetch_things(page_number, page_size)

これは問題ありませんが、すべて同じページングパラメータを必要とする 10 個の API または 100 個の API がある場合、少し面倒になります。ここで依存関係の注入が登場します。このロジックをすべて関数に移動し、その関数を API に注入できます。

async def paging_params_dep(page_number: int = 0, page_size: int = 100):
    if page_number  100:
        raise HTTPException(status_code=400, detail="Page size can be at most 100")
    return PagingParams(page_number, page_size)

@app.get("/things/")
async def fetch_things(paging_params: PagingParams = Depends(paging_params_dep)):
    return db.fetch_things(paging_params)

@app.get("/other_things/")
async def fetch_other_things(paging_params: PagingParams = Depends(paging_params_dep)):
    return db.fetch_other_things(paging_params)

これにはいくつかの素晴らしい利点があります:

PagingParams を受け取る各ルートは自動的に検証され、デフォルト値が設定されます。
各ルートの最初の行を validate_paging_params(page_number, page_size) にするよりも冗長でなく、エラーが発生しやすくなります
これは FastAPI の OpenAPI サポートでも動作します。これらのパラメーターは OpenAPI 仕様に表示されます。

これは認証とどのような関係がありますか?

これは認証をモデル化する優れた方法でもあることがわかりました。次のような関数があると想像してください:

async def validate_token(token: str):
    try:
        # This could be JWT validation, looking up a session token in the DB, etc.
        return await get_user_for_token(token)
    except:
        return None

これを API ルートに接続するには、依存関係でラップするだけです。

async def require_valid_token_dep(req: Request):
    # This could also be a cookie, x-api-key header, etc.
    token = req.headers["Authorization"]
    user = await validate_token(token)
    if user == None:
        raise HTTPException(status_code=401, detail="Unauthorized")
    return user

そして、保護されているすべてのルートに次の依存関係を追加できます。

@app.get("/protected")
async def do_secret_things(user: User = Depends(require_valid_token_dep)):
    # do something with the user

ユーザーが有効なトークンを提供すると、このルートが実行され、ユーザーが設定されます。それ以外の場合は、401 が返されます。

注: OpenAPI/Swagger には、認証トークンを指定するためのファーストクラスのサポートがありますが、専用のクラスの 1 つを使用する必要があります。 req.headers["Authorization"] の代わりに、HTTPAuthorizationCredentials を返す fastapi.security の HTTPBearer(auto_error=False) を使用できます。

ミドルウェアと認証依存

FastAPI は、ほとんどのフレームワークと同様、ミドルウェアの概念を持っています。ミドルウェアには、リクエストの前後に実行されるコードを含めることができます。リクエストがルートに到達する前にリクエストを変更でき、ユーザーに返される前にレスポンスを変更できます。

他の多くのフレームワークでは、ミドルウェアは認証チェックが行われる非常に一般的な場所です。ただし、これは多くの場合、ミドルウェアがユーザーをルートに「挿入」する役割も担っているためです。たとえば、Express での一般的なパターンは次のようなことを行うことです:

app.get("/protected", authMiddleware, (req, res) => {
    // req.user is set by the middleware
    // as there's no good way to pass in extra information into this route,
    // outside of the request
});

FastAPI にはインジェクションの概念が組み込まれているため、ミドルウェアを使用する必要がまったくない場合があります。認証トークンを定期的に (有効な状態に保つために) 「更新」し、応答を Cookie として設定する必要がある場合は、ミドルウェアの使用を検討します。

この場合、request.state を使用してミドルウェアからルートに情報を渡します (また、必要に応じて依存関係を使用して request.state を検証することもできます)。

それ以外の場合、ユーザーは request.state を経由せずにルートに直接挿入されるため、Depends を使い続けることになります。

認可 - マルチテナント、ロール、権限

これまでに学んだことをすべて適用すると、マルチテナンシー、ロール、または権限の追加は非常に簡単になります。各顧客に固有のサブドメインがあるとします。このサブドメインに依存関係を作成できます。

async def tenant_by_subdomain_dep(request: Request) -> Optional[str]:
    # first we get the subdomain from the host header
    host = request.headers.get("host", "")
    parts = host.split(".")
    if len(parts) 



<p>このアイデアを以前のアイデアと組み合わせて、新しい「マルチテナント」依存関係を作成できます。<br>
</p>

<pre class="brush:php;toolbar:false">async def get_user_and_tenant_for_token(
    user: User = Depends(require_valid_token_dep),
    tenant: Tenant = Depends(tenant_by_subdomain_dep),
) -> UserAndTenant:
    is_user_in_tenant = await check_user_is_in_tenant(tenant, user)
    if is_user_in_tenant:
        return UserAndTenant(user, tenant)
    raise HTTPException(status_code=403, detail="Forbidden")

次に、この依存関係をルートに挿入できます。

@app.get("/protected")
async def do_secret_things(user_and_tenant: UserAndTenant = Depends(get_user_and_tenant_for_token)):
    # do something with the user and tenant

これにより、いくつかの重要なことが行われます:

ユーザーが有効なトークンを持っているかどうかを確認しています
ユーザーが有効なサブドメインにリクエストを行っているかどうかを確認しています
ユーザーがそのサブドメインにアクセスできるかどうかを確認しています

If any of those invariants aren’t met - an error is returned and our route will never run. We can extend this to include other things like roles & permissions (RBAC) or making sure the user has a certain property set (active paid subscription vs no active subscription).

PropelAuth

At PropelAuth, we’re big fans of FastAPI. We have a FastAPI library that will enable you to set up authentication and authorization quickly - including SSO, Enterprise SSO / SAML, SCIM Provisioning, and more.

And it all works with dependencies like the ones you’ve seen above, e.g.:

@app.get("/")
async def root(current_user: User = Depends(auth.require_user)):
    return {"message": f"Hello {current_user.user_id}"}

You can find out more here.

Summary

FastAPI's dependency injection provides a powerful way to handle authentication and authorization in web applications.
The Depends feature allows for clean, reusable code for validating tokens, checking user permissions, and handling multi-tenancy.
Compared to middleware, using dependencies for auth offers more flexibility and direct integration with route functions.
Complex authorization scenarios like multi-tenancy and role-based access control can be efficiently implemented using nested dependencies.
PropelAuth offers a FastAPI library that simplifies the implementation of advanced authentication and authorization features.

以上が依存関係インジェクションを使用した FastAPI 認証の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

Pythonの実行モデル：コンパイル、解釈、またはその両方？May 10, 2025 am 12:04 AM

pythonisbothcompiledinterted.whenyourunapythonscript、itisfirstcompiledintobytecode、これはdenepythonvirtualmachine（pvm）.thishybridapproaChallowsforplatform-platform-denodent-codebutcututicut。

Pythonはラインごとに実行されますか？May 10, 2025 am 12:03 AM

Pythonは厳密に行ごとの実行ではありませんが、最適化され、インタープレーターメカニズムに基づいて条件付き実行です。インタープリターは、コードをPVMによって実行されるBytecodeに変換し、定数式または最適化ループを事前促進する場合があります。これらのメカニズムを理解することで、コードを最適化し、効率を向上させることができます。

Pythonの2つのリストを連結する代替品は何ですか？May 09, 2025 am 12:16 AM

Pythonに2つのリストを接続する多くの方法があります。1。オペレーターを使用しますが、これはシンプルですが、大きなリストでは非効率的です。 2。効率的ですが、元のリストを変更する拡張メソッドを使用します。 3。=演算子を使用します。これは効率的で読み取り可能です。 4。itertools.chain関数を使用します。これはメモリ効率が高いが、追加のインポートが必要です。 5。リストの解析を使用します。これはエレガントですが、複雑すぎる場合があります。選択方法は、コードのコンテキストと要件に基づいている必要があります。

Python：2つのリストをマージする効率的な方法May 09, 2025 am 12:15 AM

Pythonリストをマージするには多くの方法があります。1。オペレーターを使用します。オペレーターは、シンプルですが、大きなリストではメモリ効率的ではありません。 2。効率的ですが、元のリストを変更する拡張メソッドを使用します。 3. Itertools.chainを使用します。これは、大規模なデータセットに適しています。 4.使用 *オペレーター、1つのコードで小規模から中型のリストをマージします。 5. numpy.concatenateを使用します。これは、パフォーマンス要件の高い大規模なデータセットとシナリオに適しています。 6.小さなリストに適したが、非効率的な追加方法を使用します。メソッドを選択するときは、リストのサイズとアプリケーションのシナリオを考慮する必要があります。

コンパイルされた通信言語：長所と短所May 09, 2025 am 12:06 AM

compiledlanguagesOfferspeedandsecurity、foredlanguagesprovideeaseofuseandportability.1）compiledlanguageslikec arefasterandsecurebuthavelOnderdevelopmentsplat dependency.2）

Python：ループのために、そして最も完全なガイドMay 09, 2025 am 12:05 AM

Pythonでは、forループは反復可能なオブジェクトを通過するために使用され、条件が満たされたときに操作を繰り返し実行するためにしばらくループが使用されます。 1）ループの例：リストを通過し、要素を印刷します。 2）ループの例：正しいと推測するまで、数値ゲームを推測します。マスタリングサイクルの原則と最適化手法は、コードの効率と信頼性を向上させることができます。

Python concatenateリストを文字列に入れますMay 09, 2025 am 12:02 AM

リストを文字列に連結するには、PythonのJoin（）メソッドを使用して最良の選択です。 1）join（）メソッドを使用して、 '' .join（my_list）などのリスト要素を文字列に連結します。 2）数字を含むリストの場合、連結する前にマップ（str、数字）を文字列に変換します。 3） '、'などの複雑なフォーマットに発電機式を使用できます。 4）混合データ型を処理するときは、MAP（STR、Mixed_List）を使用して、すべての要素を文字列に変換できるようにします。 5）大規模なリストには、 '' .join（lage_li）を使用します

Pythonのハイブリッドアプローチ：コンピレーションと解釈を組み合わせたMay 08, 2025 am 12:16 AM

pythonusesahybridapproach、コンコイリティレーショントビテコードと解釈を組み合わせて、コードコンピレッドフォームと非依存性bytecode.2）

See all articles

ホットAIツール

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

脱衣画像を無料で

Clothoff.io

AI衣類リムーバー

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

ホットツール

SublimeText3 中国語版

中国語版、とても使いやすい

Safe Exam Browser

Safe Exam Browser は、オンライン試験を安全に受験するための安全なブラウザ環境です。このソフトウェアは、あらゆるコンピュータを安全なワークステーションに変えます。あらゆるユーティリティへのアクセスを制御し、学生が無許可のリソースを使用するのを防ぎます。

DVWA

Damn Vulnerable Web App (DVWA) は、非常に脆弱な PHP/MySQL Web アプリケーションです。その主な目的は、セキュリティ専門家が法的環境でスキルとツールをテストするのに役立ち、Web 開発者が Web アプリケーションを保護するプロセスをより深く理解できるようにし、教師/生徒が教室環境で Web アプリケーションを教え/学習できるようにすることです。安全。 DVWA の目標は、シンプルでわかりやすいインターフェイスを通じて、さまざまな難易度で最も一般的な Web 脆弱性のいくつかを実践することです。このソフトウェアは、

mPDF

mPDF は、UTF-8 でエンコードされた HTML から PDF ファイルを生成できる PHP ライブラリです。オリジナルの作者である Ian Back は、Web サイトから「オンザフライ」で PDF ファイルを出力し、さまざまな言語を処理するために mPDF を作成しました。 HTML2FPDF などのオリジナルのスクリプトよりも遅く、Unicode フォントを使用すると生成されるファイルが大きくなりますが、CSS スタイルなどをサポートし、多くの機能強化が施されています。 RTL (アラビア語とヘブライ語) や CJK (中国語、日本語、韓国語) を含むほぼすべての言語をサポートします。ネストされたブロックレベル要素 (P、DIV など) をサポートします。