FastAPI 安全配置指南

FastAPI 是一个现代化的 Python Web 框架，提供了快速开发 API 的能力。为了确保应用的安全性，我们需要配置一些关键的安全设置。以下是关于如何在 FastAPI 中避免文档暴露以及其他安全配置的详细指南。

1. 禁用文档接口

你可以通过设置 docs_url 和 redoc_url 为 None 来禁用 Swagger UI 和 ReDoc 文档接口。

from fastapi import FastAPI

app = FastAPI(docs_url=None, redoc_url=None)

2. 隐藏部分接口

使用 include_in_schema=False 参数可以隐藏部分接口。

from fastapi import FastAPI

app = FastAPI()

@app.post("/login", include_in_schema=False)
def login(params: LoginInfo):
    # 登录逻辑
    pass

3. 使用环境变量控制文档显示

根据环境变量决定是否显示文档。

import os
from fastapi import FastAPI

env = os.getenv('env')

if env != 'develop':
    app = FastAPI(docs_url=None, redoc_url=None)
else:
    app = FastAPI()

4. HTTPS 配置

使用 HTTPS 加密数据传输，保护敏感信息。

• 重要性: HTTPS 防止数据被拦截或篡改。
• 实现方式: 使用 SSL/TLS 证书，通过 Uvicorn 启用 HTTPS。

uvicorn main:app --host 0.0.0.0 --port 8000 --cert /path/to/cert.pem --key /path/to/key.pem

5. 安全头部配置

添加安全头部防止 XSS、Clickjacking 等攻击。

• 重要性: 防止常见的 Web 攻击。
• 实现方式: 使用 FastAPI 中间件添加安全头部。

from fastapi import FastAPI, Response
from fastapi.responses import JSONResponse

app = FastAPI()

@app.middleware("http")
async def add_security_headers(request, call_next):
    response = await call_next(request)
    response.headers["Strict-Transport-Security"] = "max-age=31536000; includeSubDomains"
    response.headers["X-Frame-Options"] = "SAMEORIGIN"
    return response

6. 输入验证和数据清理

使用 Pydantic 模型防止 SQL 注入、XSS 等攻击。

• 重要性: 自动验证和清理输入数据。
• 实现方式: 定义 Pydantic 模型。

from pydantic import BaseModel

class User(BaseModel):
    username: str
    password: str

@app.post("/register")
def register(user: User):
    # 注册逻辑
    pass

7. CORS 配置

限制跨域请求，防止不必要的交互。

• 重要性: 限制跨域访问。
• 实现方式 : 使用 CORSMiddleware 配置允许的来源、方法和头部。

from fastapi import FastAPI
from fastapi.middleware.cors import CORSMiddleware

app = FastAPI()

origins = [
    "http://localhost:3000",
    "http://localhost:8000",
]

app.add_middleware(
    CORSMiddleware,
    allow_origins=origins,
    allow_credentials=True,
    allow_methods=["*"],
    allow_headers=["*"],
)

8. CSRF 保护

使用 CSRF 令牌防止跨站请求伪造攻击。

• 重要性: 防止 CSRF 攻击。
• 实现方式 : 使用 CSRFMiddleware 添加 CSRF 令牌保护。

from fastapi import FastAPI, Request
from fastapi.responses import JSONResponse

app = FastAPI()

@app.post("/submit")
def submit(request: Request):
    # 提交逻辑
    pass

注意: FastAPI 本身不提供内置的 CSRF 保护，需要使用第三方库或自行实现。

9. 速率限制

使用 fastapi-limiter 库防止滥用和 DDoS 攻击。

• 重要性: 防止滥用。
• 实现方式: 设置速率限制。

from fastapi import FastAPI
from fastapi_limiter import FastAPILimiter
from fastapi_limiter.limit import RateLimit

app = FastAPI()

limiter = FastAPILimiter()

@app.get("/api/data")
@RateLimit(limit=10, period=60)  # 每分钟最多请求 10 次
def get_data():
    # 数据获取逻辑
    pass

limiter.init_app(app)

10. 依赖更新和管理

定期更新依赖库，防止已知漏洞利用。

• 重要性: 保持依赖库更新。
• 实现方式 : 使用 pip 更新依赖库。

pip install --upgrade -r requirements.txt

11. 错误处理和日志管理

实现安全的错误处理机制，避免日志中包含敏感信息。

• 重要性: 避免泄露敏感信息。
• 实现方式: 实现自定义错误处理。

from fastapi import FastAPI, Request
from fastapi.responses import JSONResponse

app = FastAPI()

@app.exception_handler(Exception)
async def handle_exception(request: Request, exc: Exception):
    return JSONResponse(status_code=500, content={"message": "Internal Server Error"})

12. RBAC（基于角色的访问控制）

限制用户访问，确保只有授权用户可以访问特定资源。

• 重要性: 限制用户访问。
• 实现方式: 使用依赖注入和安全作用域定义用户角色和权限。

from fastapi import FastAPI, Depends
from fastapi.security import OAuth2PasswordBearer

app = FastAPI()

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")

@app.get("/admin")
def read_admin(token: str = Depends(oauth2_scheme)):
    # 管理员接口逻辑
    pass

通过这些配置和措施，你可以构建一个更安全的 FastAPI 应用。