FastAPI(57)- 安全相关的概念

2021-10-09 10:56:02 浏览数 (1)

OAuth2
  • OAuth2 是一个规范,它定义了几种处理身份验证和授权的方法
  • 这是一个相当广泛的规范,涵盖了几个复杂的用例
  • 它包括使用“第三方”进行身份验证的方法
  • 比如在抖音通过微信、QQ 登录,底层用的就是 OAuth2
OAuth1
  • OAuth 1,它与 OAuth2 非常不同,而且更复杂,因为它直接包含了关于如何加密通信的规范
  • 它现在不是很流行或常用
  • OAuth2 没有指定如何加密通信,它希望您的应用程序使用 HTTPS
OpenID Connect
  • OpenID Connect 是另一个规范,基于 OAuth2
  • 它只是扩展了 OAuth2,指定了 OAuth2 中相对模糊的一些内容,以尝试使其更具互操作性
  • 例如,Google 登录使用 OpenID Connect(其底层使用 OAuth2)
  • 但是 Facebook 登录不支持 OpenID Connect,它有自己的 OAuth2 风格
OpenID (not "OpenID Connect")
  • 还有一个“OpenID”规范,它试图解决与 OpenID Connect 相同的问题,但不是基于 OAuth2
  • 所以,这是一个完整的附加系统
  • 但它现在不是很流行或使用
OpenAPI
  • OpenAPI(以前称为 Swagger)是用于构建 API(现在是 Linux 基金会的一部分)的开放规范
  • FastAPI 基于 OpenAPI,这就是拥有多个自动交互式文档界面、代码生成等的原因
  • OpenAPI 有一种方法可以定义多个安全“方案”
  • 通过使用它们,可以利用所有这些基于标准的工具,包括这些交互式文档系统
apikey

一个应用程序特定的密钥,可以来自:

  • query param
  • header
  • cookie
http

标准的 HTTP 认证系统,包括

  • Bearer:一个 header Authorization,值为 Bearer 加上一个 token,这是从 OAuth2 继承的
  • HTTP 基本身份验证
  • HTTP 摘要
oauth2

处理安全性的所有 OAuth2 方法(称为“流”)

其中一些流程适用于构建 OAuth 2.0 身份验证提供程序(如 Google、Facebook、Twitter、GitHub 等)

  • implicit
  • clientCredentials
  • authorizationCode

但是有一个特定的“流程”可以完美地用于直接在同一应用程序中处理身份验证

  • password
openIdConnect
  • 有一种方法可以定义如何自动发现 OAuth2 身份验证数据
  • 这种自动发现是 OpenID Connect 规范中定义的

0 人点赞