FastAPI 安全配置指南

FastAPI 是一个现代化的 Python Web 框架,提供了快速开发 API 的能力。为了确保应用的安全性,我们需要配置一些关键的安全设置。以下是关于如何在 FastAPI 中避免文档暴露以及其他安全配置的详细指南。

1. 禁用文档接口

你可以通过设置 docs_urlredoc_urlNone 来禁用 Swagger UI 和 ReDoc 文档接口。

python 复制代码
from fastapi import FastAPI

app = FastAPI(docs_url=None, redoc_url=None)

2. 隐藏部分接口

使用 include_in_schema=False 参数可以隐藏部分接口。

python 复制代码
from fastapi import FastAPI

app = FastAPI()

@app.post("/login", include_in_schema=False)
def login(params: LoginInfo):
    # 登录逻辑
    pass

3. 使用环境变量控制文档显示

根据环境变量决定是否显示文档。

python 复制代码
import os
from fastapi import FastAPI

env = os.getenv('env')

if env != 'develop':
    app = FastAPI(docs_url=None, redoc_url=None)
else:
    app = FastAPI()

4. HTTPS 配置

使用 HTTPS 加密数据传输,保护敏感信息。

  • 重要性: HTTPS 防止数据被拦截或篡改。
  • 实现方式: 使用 SSL/TLS 证书,通过 Uvicorn 启用 HTTPS。
bash 复制代码
uvicorn main:app --host 0.0.0.0 --port 8000 --cert /path/to/cert.pem --key /path/to/key.pem

5. 安全头部配置

添加安全头部防止 XSS、Clickjacking 等攻击。

  • 重要性: 防止常见的 Web 攻击。
  • 实现方式: 使用 FastAPI 中间件添加安全头部。
python 复制代码
from fastapi import FastAPI, Response
from fastapi.responses import JSONResponse

app = FastAPI()

@app.middleware("http")
async def add_security_headers(request, call_next):
    response = await call_next(request)
    response.headers["Strict-Transport-Security"] = "max-age=31536000; includeSubDomains"
    response.headers["X-Frame-Options"] = "SAMEORIGIN"
    return response

6. 输入验证和数据清理

使用 Pydantic 模型防止 SQL 注入、XSS 等攻击。

  • 重要性: 自动验证和清理输入数据。
  • 实现方式: 定义 Pydantic 模型。
python 复制代码
from pydantic import BaseModel

class User(BaseModel):
    username: str
    password: str

@app.post("/register")
def register(user: User):
    # 注册逻辑
    pass

7. CORS 配置

限制跨域请求,防止不必要的交互。

  • 重要性: 限制跨域访问。
  • 实现方式 : 使用 CORSMiddleware 配置允许的来源、方法和头部。
python 复制代码
from fastapi import FastAPI
from fastapi.middleware.cors import CORSMiddleware

app = FastAPI()

origins = [
    "http://localhost:3000",
    "http://localhost:8000",
]

app.add_middleware(
    CORSMiddleware,
    allow_origins=origins,
    allow_credentials=True,
    allow_methods=["*"],
    allow_headers=["*"],
)

8. CSRF 保护

使用 CSRF 令牌防止跨站请求伪造攻击。

  • 重要性: 防止 CSRF 攻击。
  • 实现方式 : 使用 CSRFMiddleware 添加 CSRF 令牌保护。
python 复制代码
from fastapi import FastAPI, Request
from fastapi.responses import JSONResponse

app = FastAPI()

@app.post("/submit")
def submit(request: Request):
    # 提交逻辑
    pass

注意: FastAPI 本身不提供内置的 CSRF 保护,需要使用第三方库或自行实现。

9. 速率限制

使用 fastapi-limiter 库防止滥用和 DDoS 攻击。

  • 重要性: 防止滥用。
  • 实现方式: 设置速率限制。
python 复制代码
from fastapi import FastAPI
from fastapi_limiter import FastAPILimiter
from fastapi_limiter.limit import RateLimit

app = FastAPI()

limiter = FastAPILimiter()

@app.get("/api/data")
@RateLimit(limit=10, period=60)  # 每分钟最多请求 10 次
def get_data():
    # 数据获取逻辑
    pass

limiter.init_app(app)

10. 依赖更新和管理

定期更新依赖库,防止已知漏洞利用。

  • 重要性: 保持依赖库更新。
  • 实现方式 : 使用 pip 更新依赖库。
bash 复制代码
pip install --upgrade -r requirements.txt

11. 错误处理和日志管理

实现安全的错误处理机制,避免日志中包含敏感信息。

  • 重要性: 避免泄露敏感信息。
  • 实现方式: 实现自定义错误处理。
python 复制代码
from fastapi import FastAPI, Request
from fastapi.responses import JSONResponse

app = FastAPI()

@app.exception_handler(Exception)
async def handle_exception(request: Request, exc: Exception):
    return JSONResponse(status_code=500, content={"message": "Internal Server Error"})

12. RBAC(基于角色的访问控制)

限制用户访问,确保只有授权用户可以访问特定资源。

  • 重要性: 限制用户访问。
  • 实现方式: 使用依赖注入和安全作用域定义用户角色和权限。
python 复制代码
from fastapi import FastAPI, Depends
from fastapi.security import OAuth2PasswordBearer

app = FastAPI()

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")

@app.get("/admin")
def read_admin(token: str = Depends(oauth2_scheme)):
    # 管理员接口逻辑
    pass

通过这些配置和措施,你可以构建一个更安全的 FastAPI 应用。

相关推荐
Victor3563 分钟前
MySQL(119)如何加密存储敏感数据?
后端
用户39661446871913 分钟前
TypeScript 系统入门到项目实战-慕课网
后端
guojl19 分钟前
Dubbo SPI原理与设计精要
后端
Lemon程序馆20 分钟前
搞懂 GO 的垃圾回收机制
后端·go
用户81221993672230 分钟前
React18+Next.js14+Nest.js全栈开发复杂低代码项目-仿问卷星
后端
喜欢吃豆34 分钟前
目前最火的agent方向-A2A快速实战构建(二): AutoGen模型集成指南:从OpenAI到本地部署的全场景LLM解决方案
后端·python·深度学习·flask·大模型
寻月隐君39 分钟前
Rust 网络编程实战:用 Tokio 手写一个迷你 TCP 反向代理 (minginx)
后端·rust·github
汪子熙1 小时前
理解 git checkout 与 git reset 的联系和区别
后端
程序员爱钓鱼1 小时前
Go 语言泛型 — 泛型语法与示例
后端·面试·go