FastAPI安全防护指南:构建坚不可摧的参数处理体系

李优秀  金牌会员 | 2025-3-15 14:03:54 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 640|帖子 640|积分 1920



扫描二维码关注或者微信搜一搜:编程智域 前端至全栈交流与成长
探索数千个预构建的 AI 应用,开启你的下一个巨大创意
第一章:输入验证体系

1.1 范例安全革命
  1. from pydantic import BaseModel, PaymentCardNumber
  2. from pydantic.types import SecretStr
  5. class UserRequest(BaseModel):
  6.     username: str = Field(min_length=4, regex="^[a-zA-Z0-9_]+$")
  7.     credit_card: PaymentCardNumber
  8.     password: SecretStr
  9.     ip_address: IPv4Address
  11. # 自动完成:
  12. # 1. 信用卡格式验证
  13. # 2. 密码内存加密
  14. # 3. IP地址合法性检测
复制代码
1.2 深度校验计谋
  1. from pydantic import validator, root_validator
  4. class OrderRequest(BaseModel):
  5.     items: list[int]
  6.     total_price: float
  8.     @validator('items', each_item=True)
  9.     def check_item_ids(cls, v):
  10.         if v <= 0:
  11.             raise ValueError("非法商品ID")
  12.         return v
  14.     @root_validator
  15.     def check_price_match(cls, values):
  16.         items = values.get('items')
  17.         price = values.get('total_price')
  18.         # 查询数据库验证价格一致性
  19.         real_price = calc_real_price(items)
  20.         if abs(price - real_price) > 1e-6:
  21.             raise ValueError("价格不匹配")
  22.         return values
复制代码
第二章:注入攻击防护

2.1 SQL注入防护矩阵
  1. # 危险示例(绝对禁止)
  2. @app.get("/items")
  3. async def get_items(name: str):
  4.     # 直接拼接SQL语句
  5.     query = f"SELECT * FROM items WHERE name = '{name}'"
  6.     return await database.fetch_all(query)
  9. # 安全方案
  10. from sqlalchemy import text
  13. @app.get("/items")
  14. async def safe_get_items(name: str):
  15.     # 参数化查询
  16.     query = text("SELECT * FROM items WHERE name = :name")
  17.     return await database.fetch_all(query, {"name": name})
复制代码
2.2 NoSQL注入防护
  1. from bson import json_util
  2. from fastapi.encoders import jsonable_encoder
  5. class QuerySanitizer:
  6.     @classmethod
  7.     def sanitize(cls, query: dict):
  8.         safe_query = {}
  9.         for k, v in jsonable_encoder(query).items():
  10.             if isinstance(v, str):
  11.                 safe_query[k] = {"$eq": v}
  12.             else:
  13.                 safe_query[k] = v
  14.         return json_util.dumps(safe_query)
  17. # 使用示例
  18. raw_query = {"name": {"$ne": "admin"}}
  19. safe_query = QuerySanitizer.sanitize(raw_query)  # 转换为安全查询
复制代码
第三章:敏感数据处理

3.1 数据掩藏中间件
  1. from fastapi import Request
  2. from fastapi.middleware import Middleware
  5. class DataMaskingMiddleware:
  6.     def __init__(self, app):
  7.         self.app = app
  8.         self.sensitive_keys = {'password', 'token', 'credit_card'}
  10.     async def __call__(self, request: Request, call_next):
  11.         response = await call_next(request)
  12.         body = await response.body()
  14.         # 对敏感字段进行遮蔽
  15.         masked_body = self.mask_sensitive_data(json.loads(body))
  16.         return JSONResponse(
  17.             content=masked_body,
  18.             status_code=response.status_code,
  19.             headers=dict(response.headers)
  20.         )
  22.     def mask_sensitive_data(self, data):
  23.         if isinstance(data, dict):
  24.             return {k: self._mask_value(k, v) for k, v in data.items()}
  25.         return data
  27.     def _mask_value(self, key, value):
  28.         if key in self.sensitive_keys:
  29.             return "***MASKED***"
  30.         return value
复制代码
3.2 密码学存储方案
  1. from cryptography.fernet import Fernet
  2. from passlib.context import CryptContext
  4. pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")
  5. fernet = Fernet(config.SECRET_KEY)
  8. class PasswordManager:
  9.     @staticmethod
  10.     def hash_password(plain: str) -> str:
  11.         return pwd_context.hash(plain)
  13.     @staticmethod
  14.     def encrypt_data(data: str) -> bytes:
  15.         return fernet.encrypt(data.encode())
  17.     @staticmethod
  18.     def decrypt_data(cipher: bytes) -> str:
  19.         return fernet.decrypt(cipher).decode()
  22. # 使用示例
  23. hashed_pwd = PasswordManager.hash_password("user123")
  24. encrypted_data = PasswordManager.encrypt_data("sensitive_info")
复制代码
第四章:高级安全计谋

4.1 请求签名验证
  1. import hmac
  2. from hashlib import sha256
  5. class SignatureValidator:
  6.     @classmethod
  7.     def generate_signature(cls, data: dict, secret: str) -> str:
  8.         sorted_str = "&".join(f"{k}={v}" for k, v in sorted(data.items()))
  9.         return hmac.new(secret.encode(), sorted_str.encode(), sha256).hexdigest()
  11.     @classmethod
  12.     def validate_signature(cls, data: dict, signature: str, secret: str) -> bool:
  13.         actual = cls.generate_signature(data, secret)
  14.         return hmac.compare_digest(actual, signature)
  17. # 在依赖项中进行验证
  18. async def verify_request(
  19.         request: Request,
  20.         body: dict = Body(...),
  21.         signature: str = Header(...)
  22. ):
  23.     secret = config.API_SECRET
  24.     if not SignatureValidator.validate_signature(body, signature, secret):
  25.         raise HTTPException(403, "非法请求")
  26.     return body
复制代码
4.2 速率限定防御
  1. from fastapi import Depends
  2. from fastapi_limiter import FastAPILimiter
  3. from fastapi_limiter.depends import RateLimiter
  6. @app.on_event("startup")
  7. async def startup():
  8.     await FastAPILimiter.init(config.REDIS_URL)
  11. @app.get("/sensitive", dependencies=[Depends(RateLimiter(times=5, seconds=60))])
  12. async def sensitive_operation():
  13.     return {"detail": "敏感操作成功"}
复制代码
第五章:错误处理与日志

5.1 安全错误标准化
  1. from fastapi import HTTPException
  4. class SecurityException(HTTPException):
  5.     def __init__(self, detail: str):
  6.         super().__init__(
  7.             status_code=403,
  8.             detail=detail,
  9.             headers={"WWW-Authenticate": "Bearer"},
  10.         )
  13. @app.exception_handler(SecurityException)
  14. async def security_exception_handler(request, exc):
  15.     return JSONResponse(
  16.         status_code=exc.status_code,
  17.         content={"detail": exc.detail},
  18.         headers=exc.headers
  19.     )
复制代码
5.2 安全日志审计
  1. import logging
  2. from logging.handlers import SysLogHandler
  4. security_logger = logging.getLogger("api.security")
  5. security_logger.setLevel(logging.INFO)
  6. handler = SysLogHandler(address=('logs.papertrailapp.com', 12345))
  7. security_logger.addHandler(handler)
  10. class SecurityLogger:
  11.     @staticmethod
  12.     def log_suspicious(request: Request):
  13.         log_data = {
  14.             "ip": request.client.host,
  15.             "path": request.url.path,
  16.             "method": request.method,
  17.             "user_agent": request.headers.get("user-agent")
  18.         }
  19.         security_logger.warning("可疑请求: %s", json.dumps(log_data))
复制代码
课后Quiz

Q1:哪种方式能有效防止SQL注入?
A) 利用ORM的参数化查询
B) 拼接用户输入到SQL语句
C) 用正则过滤特别字符
D) 限定数据库权限
Q2:敏感信息掩藏的正确时机是?

  • 数据库存储时
  • 日志记录时
  • API响应时
  • 全部正确
Q3:请求签名验证的主要作用是?

  • 提升性能
  • 防止请求篡改
  • 压缩数据体积
  • 验证请求来源合法性
错误代码速查表

错误码场景解决方案422参数校验失败查抄字段范例与格式约束403签名验证失败查抄请求签名天生算法429请求频率超限低落操作频率或联系管理员500密钥配置错误查抄加密密钥加载逻辑扩展阅读


  • 《OWASP API Security TOP 10》 - API安全威胁权威指南
  • 《密码学工程实践》 - 安全存储与传输的现代方案
  • 《云原生安全架构》 - 分布式系统安全设计模式
安全箴言:真正的安全防御是分层递进的体系,而非单一技术点的堆砌。建议每月进行安全审计,每季度开展渗透测试,让安全防护与时俱进。记住:安全无小事,防御无止境。
余下文章内容请点击跳转至 个人博客页面 或者 扫码关注或者微信搜一搜:编程智域 前端至全栈交流与成长,阅读完备的文章:FastAPI安全防护指南:构建坚不可摧的参数处理体系 | cmdragon's Blog
往期文章归档:

<ul>FastAPI复杂查询终极指南:告别if-else的现代化过滤架构 | cmdragon's Blog
FastAPI 核心机制:分页参数的实现与最佳实践 | cmdragon's Blog
<a href="https://blog.cmdragon.cn/posts/615a966b68d9/" target="_blank" rel="noopener nofollow">FastAPI 错误处理与自界说错误消息完全指南:构建健壮的 API 应用
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

李优秀

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

运维 CIO 存储 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表