logo cmdragon's Blog

FastAPI安全异常处理:从401到422的奇妙冒险

avatar
cmdragon 大乘
  2025-06-05 21:06:31   2025-06-05 21:06:31   2.1k 字  9 分钟
image image

扫描二维码
关注或者微信搜一搜:编程智域 前端至全栈交流与成长

探索数千个预构建的 AI 应用,开启你的下一个伟大创意https://tools.cmdragon.cn/

第一章:FastAPI安全异常处理核心原理与实践

(注:根据用户要求,章节编号从”第一章”开始,不使用”深入”等词汇)

一、认证失败的标准HTTP响应规范

1.1 HTTP状态码的选择原则

HTTP状态码是API与客户端沟通的第一语言。FastAPI建议采用以下规范:

  • 401 Unauthorized:当请求未携带身份凭证,或凭证格式错误时使用
  • 403 Forbidden:当凭证有效但权限不足时使用
  • 422 Unprocessable Entity:当请求体参数验证失败时使用(由Pydantic自动触发)

示例:访问需要管理员权限的接口时,普通用户会收到403而非401,因为此时凭证验证已通过,但权限不足

1.2 标准错误响应结构

建议统一错误响应格式以提升客户端处理效率:

1
2
3
4
5
6
7
{
    "detail": {
        "code": "AUTH-001",  # 自定义错误编码
        "message": "Token expired",  # 人类可读信息
        "type": "token_expired"  # 机器识别类型
    }
}

1.3 自定义异常处理器

通过覆盖默认异常处理实现标准化:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
from fastapi import FastAPI, HTTPException, Request
from fastapi.responses import JSONResponse

app = FastAPI()


@app.exception_handler(HTTPException)
async def custom_http_exception_handler(request: Request, exc: HTTPException):
    return JSONResponse(
        status_code=exc.status_code,
        content={
            "detail": {
                "code": exc.headers.get("X-Error-Code", "UNKNOWN"),
                "message": exc.detail,
                "type": exc.headers.get("X-Error-Type", "unknown")
            }
        },
        headers=exc.headers
    )

二、令牌异常的特殊场景处理

2.1 JWT令牌的三种异常情况

异常类型检测方法推荐状态码
签名篡改签名验证失败401
过期令牌检查exp字段401
格式错误Header/Payload格式解析失败401

2.2 令牌校验的依赖注入实现

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
from jose import JWTError, jwt
from fastapi import Depends, HTTPException
from pydantic import BaseModel


class TokenData(BaseModel):
    username: str | None = None


async def validate_token(token: str = Depends(oauth2_scheme)) -> TokenData:
    credentials_exception = HTTPException(
        status_code=401,
        detail="Could not validate credentials",
        headers={"WWW-Authenticate": "Bearer"},
        headers={"X-Error-Code": "AUTH-003"}
    )
    try:
        payload = jwt.decode(
            token,
            SECRET_KEY,
            algorithms=[ALGORITHM]
        )
        if (exp := payload.get("exp")) is None or exp < datetime.utcnow().timestamp():
            raise HTTPException(status_code=401, detail="Token expired")
        return TokenData(**payload)
    except JWTError as e:
        raise credentials_exception from e

2.3 令牌刷新机制实现

使用双令牌策略(access_token + refresh_token):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
from datetime import datetime, timedelta


def create_tokens(username: str) -> dict:
    access_expire = datetime.utcnow() + timedelta(minutes=15)
    refresh_expire = datetime.utcnow() + timedelta(days=7)

    access_payload = {"sub": username, "exp": access_expire, "type": "access"}
    refresh_payload = {"sub": username, "exp": refresh_expire, "type": "refresh"}

    return {
        "access_token": jwt.encode(access_payload, SECRET_KEY, ALGORITHM),
        "refresh_token": jwt.encode(refresh_payload, SECRET_KEY, ALGORITHM),
        "expires_in": 900  # 秒数
    }

三、完整示例代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
# requirements.txt
fastapi == 0.68
.1
python - jose[cryptography] == 3.3
.0
passlib[bcrypt] == 1.7
.4
uvicorn == 0.15
.0

# main.py
from datetime import datetime, timedelta
from typing import Optional
from fastapi import FastAPI, Depends, HTTPException, status
from fastapi.security import OAuth2PasswordBearer
from jose import JWTError, jwt
from pydantic import BaseModel

# 配置参数
SECRET_KEY = "your-secret-key-here"  # 生产环境应使用环境变量
ALGORITHM = "HS256"
ACCESS_TOKEN_EXPIRE_MINUTES = 30

app = FastAPI()
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")


class Token(BaseModel):
    access_token: str
    token_type: str


class TokenData(BaseModel):
    username: Optional[str] = None


def create_access_token(data: dict, expires_delta: Optional[timedelta] = None):
    to_encode = data.copy()
    if expires_delta:
        expire = datetime.utcnow() + expires_delta
    else:
        expire = datetime.utcnow() + timedelta(minutes=15)
    to_encode.update({"exp": expire})
    return jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)


async def get_current_user(token: str = Depends(oauth2_scheme)):
    credentials_exception = HTTPException(
        status_code=status.HTTP_401_UNAUTHORIZED,
        detail="Could not validate credentials",
        headers={"WWW-Authenticate": "Bearer"},
    )
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        username: str = payload.get("sub")
        if username is None:
            raise credentials_exception
        token_data = TokenData(username=username)
    except JWTError as e:
        error_type = "expired" if isinstance(e, jwt.ExpiredSignatureError) else "invalid"
        raise HTTPException(
            status_code=401,
            detail=f"Token validation failed: {error_type}",
            headers={"X-Error-Type": error_type}
        ) from e
    return token_data


@app.post("/token")
async def login_for_access_token():
    access_token_expires = timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
    access_token = create_access_token(
        data={"sub": "fakeuser"}, expires_delta=access_token_expires
    )
    return {"access_token": access_token, "token_type": "bearer"}


@app.get("/protected/")
async def read_protected_route(current_user: TokenData = Depends(get_current_user)):
    return {"message": "Secure content accessed"}

课后Quiz

  1. 当JWT令牌的签名被篡改时,应该返回什么HTTP状态码?
    A) 400
    B) 401
    C) 403
    D) 500

    答案:B
    解析:签名篡改属于凭证验证失败,应返回401 Unauthorized。403用于已认证用户权限不足的情况。

  2. 如何判断JWT令牌是否过期?
    A) 检查签发时间(iat)
    B) 比较当前时间与exp字段
    C) 验证签名有效性
    D) 解析payload内容

    答案:B
    解析:exp字段存储的是UTC时间戳,解码后与当前时间比较即可判断是否过期

常见报错解决方案

报错1:jose.exceptions.JWTDecodeError: Signature verification failed
原因:令牌签名与服务器密钥不匹配
解决步骤:

  1. 检查SECRET_KEY配置是否一致
  2. 验证请求头Authorization格式是否正确
  3. 确认令牌未经过篡改

报错2:HTTP 401 Unauthorized - Token expired
原因:访问时令牌已超过exp时间
解决方案:

  1. 引导用户重新登录获取新令牌
  2. 实现令牌刷新接口
  3. 前端应自动处理令牌刷新流程

预防建议

  • 令牌有效期不宜过长(建议access_token 15-30分钟)
  • 使用https防止令牌泄露
  • 服务端密钥应通过环境变量注入,禁止硬编码

(全文完)

余下文章内容请点击跳转至 个人博客页面 或者 扫码关注或者微信搜一搜:编程智域 前端至全栈交流与成长,阅读完整的文章:

往期文章归档:

FastAPI安全异常处理:从401到422的奇妙冒险
posts/48d0eea47030/
作者
cmdragon
发布于
2025-06-05 21:06
许可
  1. 1. 第一章:FastAPI安全异常处理核心原理与实践
    1. 1.1. 一、认证失败的标准HTTP响应规范
      1. 1.1.1. 1.1 HTTP状态码的选择原则
      2. 1.1.2. 1.2 标准错误响应结构
      3. 1.1.3. 1.3 自定义异常处理器
    2. 1.2. 二、令牌异常的特殊场景处理
      1. 1.2.1. 2.1 JWT令牌的三种异常情况
      2. 1.2.2. 2.2 令牌校验的依赖注入实现
      3. 1.2.3. 2.3 令牌刷新机制实现
    3. 1.3. 三、完整示例代码
    4. 1.4. 课后Quiz
    5. 1.5. 常见报错解决方案
    6. 1.6. 往期文章归档:
  1. 1. 第一章:FastAPI安全异常处理核心原理与实践
    1. 1.1. 一、认证失败的标准HTTP响应规范
      1. 1.1.1. 1.1 HTTP状态码的选择原则
      2. 1.1.2. 1.2 标准错误响应结构
      3. 1.1.3. 1.3 自定义异常处理器
    2. 1.2. 二、令牌异常的特殊场景处理
      1. 1.2.1. 2.1 JWT令牌的三种异常情况
      2. 1.2.2. 2.2 令牌校验的依赖注入实现
      3. 1.2.3. 2.3 令牌刷新机制实现
    3. 1.3. 三、完整示例代码
    4. 1.4. 课后Quiz
    5. 1.5. 常见报错解决方案
    6. 1.6. 往期文章归档: