Untuk mengamankan WebSockets di FastAPI, ikuti amalan utama ini: 1. Mengesahkan dan sanitisasi input menggunakan model Pydantic dan elakkan melaksanakan input pengguna secara langsung. 2. Gunakan HTTPS dan WSS dengan sijil TLS yang sah dan konfigurasi proksi terbalik yang selamat. 3. Hadkan Sambungan Hayat dan Saiz Mesej untuk mengelakkan keletihan sumber, dan sambungan yang tidak digunakan secara jelas. 4. Mengesahkan dan memberi kuasa kepada pengguna sebelum jabat tangan WebSocket menggunakan token atau kuki, dan menyemak semula keizinan semasa sesi. Langkah-langkah ini memastikan komunikasi masa nyata yang selamat tanpa mengatasi persediaan anda.
WebSockets adalah alat yang berkuasa untuk komunikasi masa nyata, tetapi keselamatan tidak boleh menjadi pemikiran. Jika anda menggunakan FastAPI untuk membina titik akhir WebSocket, terdapat beberapa amalan utama yang perlu anda ikuti untuk memastikan perkara yang selamat tanpa mengatasi persediaan anda.
Mengesahkan dan membersihkan input
Sama seperti permintaan HTTP biasa, apa -apa data yang datang lebih dari websocket harus dianggap sebagai tidak dipercayai. Pengguna boleh menghantar semua jenis muatan, dan jika anda tidak berhati -hati, anda mungkin akan melaksanakan sesuatu yang berbahaya.
- Sentiasa mengesahkan struktur dan kandungan mesej masuk
- Gunakan model pydantic untuk menguatkuasakan format yang diharapkan
- Elakkan secara langsung menilai atau melaksanakan input pengguna
- Melarikan diri atau membersihkan sebarang data yang akan diberikan dalam penyemak imbas
Sebagai contoh, jika anda menjangkakan objek JSON dengan nama pengguna dan mesej, pastikan bidang tersebut wujud dan jenis yang tepat sebelum melakukan apa -apa dengan mereka. Fastapi tidak akan melakukan ini untuk anda secara automatik di laluan websocket seperti yang dilakukan untuk laluan HTTP, jadi anda perlu mengendalikannya secara manual.
Gunakan HTTPS dan WSS
Sambungan WebSocket Plain ( ws:// ) sama seperti HTTP - mereka tidak disulitkan. Ini bermakna sesiapa di antara pelanggan dan pelayan anda dapat melihat apa yang dihantar. Untuk aplikasi pengeluaran, anda sentiasa mahu menggunakan WebSockets selamat ( wss:// ), yang merupakan versi yang disulitkan, seperti HTTPS.
- Pastikan proksi terbalik anda (seperti nginx atau traefik) dikonfigurasikan untuk mengendalikan peningkatan websocket dengan selamat
- Gunakan sijil TLS yang sah - mari enkripsi adalah pilihan percuma pepejal
- Jangan campurkan trafik http dan websocket pada domain yang sama tanpa perlindungan yang betul
Ini bukan sesuatu yang dikendalikan oleh Fastapi secara langsung - lebih lanjut mengenai bagaimana anda menggunakan aplikasi anda. Tetapi ia mesti dimiliki untuk sebarang penggunaan dunia nyata.
Hadkan Sambungan Sepanjang Hayat dan Saiz Mesej
WebSockets lama, yang bagus untuk prestasi tetapi boleh menjadi risiko jika tidak diuruskan. Pelanggan yang berniat jahat boleh cuba menyimpan sambungan terbuka selama -lamanya atau menghantar mesej besar -besaran untuk mengatasi pelayan anda.
- Tetapkan waktu tamat yang munasabah untuk tidak aktif
- Hadkan saiz mesej maksimum yang akan diterima oleh pelayan anda
- Tutup sambungan secara eksplisit apabila mereka tidak lagi diperlukan
Fastapi tidak memberikan tetapan ini dari kotak, tetapi anda boleh mengawalnya apabila anda membuat laluan WebSocket anda:
Dari Fastapi Import Fastapi, WebSocket
app = fastapi ()
@app.websocket ("/ws")
Async def WebSocket_endpoint (WebSocket: WebSocket):
tunggu websocket.accept ()
Cuba:
Walaupun benar:
data = menanti websocket.receive_text ()
# Proses data
Kecuali pengecualian sebagai e:
tunggu websocket.close ()Anda juga boleh menggunakan suntikan middleware atau ketergantungan untuk menambah kadar had atau penjejakan sambungan jika diperlukan.
Mengesahkan dan memberi kuasa dengan teliti
Tidak seperti HTTP, di mana setiap permintaan boleh disahkan secara berasingan, sambungan WebSocket berterusan. Ini bermakna anda perlu mengendalikan pengesahan pada permulaan sambungan-dan mungkin menyemak semula keizinan semasa sesi.
- Jangan terima sambungan websocket tanpa mengesahkan pengguna terlebih dahulu
- Gunakan token atau kuki untuk mengesahkan sebelum jabat tangan websocket
- Sekiranya aplikasi anda menggunakan sesi, pastikan ia sah sebelum menerima sambungan
Satu corak biasa ialah lulus token akses sebagai parameter pertanyaan semasa menyambung:
const ws = new WebSocket ("WSS: //your-api.com/ws? token = abc123");Kemudian di Fastapi, anda boleh mengekstrak token itu dan mengesahkannya sebelum menerima sambungan.
Nota akhir
Mengamankan WebSockets di FastAPI bukan sains roket, tetapi ia memerlukan perhatian kepada beberapa bidang utama: pengesahan input, penyulitan pengangkutan, had sumber, dan pengesahan. Tiada yang sukar dilaksanakan, tetapi melangkau mana -mana daripada mereka boleh meninggalkan aplikasi anda terdedah.
Jika anda menggunakan persekitaran pengeluaran, jangan lupa untuk menguji persediaan anda dengan alat seperti wss://echo.websocket.org atau gunakan Postman atau websocat untuk mensimulasikan pelbagai jenis pelanggan.
Itu sahaja - mudah, tetapi penting.
Atas ialah kandungan terperinci Membina web web selamat dengan python fastapi. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Alat AI Hot
Undress AI Tool
Gambar buka pakaian secara percuma
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Clothoff.io
Penyingkiran pakaian AI
Video Face Swap
Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
Dreamweaver CS6
Alat pembangunan web visual
SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)
Topik panas
Polimorfisme dalam kelas python
Jul 05, 2025 am 02:58 AM
Polimorfisme adalah konsep teras dalam pengaturcaraan berorientasikan objek Python, merujuk kepada "satu antara muka, pelbagai pelaksanaan", yang membolehkan pemprosesan bersatu pelbagai jenis objek. 1. Polimorfisme dilaksanakan melalui penulisan semula kaedah. Subkelas boleh mentakrifkan semula kaedah kelas induk. Sebagai contoh, kaedah bercakap () kelas haiwan mempunyai pelaksanaan yang berbeza dalam subkelas anjing dan kucing. 2. Penggunaan praktikal polimorfisme termasuk memudahkan struktur kod dan meningkatkan skalabilitas, seperti memanggil kaedah cabutan () secara seragam dalam program lukisan grafik, atau mengendalikan tingkah laku umum watak -watak yang berbeza dalam pembangunan permainan. 3. Polimorfisme pelaksanaan Python perlu memenuhi: Kelas induk mentakrifkan kaedah, dan kelas kanak -kanak mengatasi kaedah, tetapi tidak memerlukan warisan kelas induk yang sama. Selagi objek melaksanakan kaedah yang sama, ini dipanggil "jenis itik". 4. Perkara yang perlu diperhatikan termasuk penyelenggaraan
Argumen dan Parameter Fungsi Python
Jul 04, 2025 am 03:26 AM
Parameter adalah ruang letak apabila menentukan fungsi, sementara argumen adalah nilai khusus yang diluluskan ketika memanggil. 1. Parameter kedudukan perlu diluluskan, dan perintah yang salah akan membawa kepada kesilapan dalam hasilnya; 2. Parameter kata kunci ditentukan oleh nama parameter, yang boleh mengubah pesanan dan meningkatkan kebolehbacaan; 3. Nilai parameter lalai diberikan apabila ditakrifkan untuk mengelakkan kod pendua, tetapi objek berubah harus dielakkan sebagai nilai lalai; 4 Args dan *kwargs boleh mengendalikan bilangan parameter yang tidak pasti dan sesuai untuk antara muka umum atau penghias, tetapi harus digunakan dengan berhati -hati untuk mengekalkan kebolehbacaan.
Terangkan penjana python dan iterators.
Jul 05, 2025 am 02:55 AM
Iterator adalah objek yang melaksanakan kaedah __iter __ () dan __Next __ (). Penjana adalah versi Iterator yang dipermudahkan, yang secara automatik melaksanakan kaedah ini melalui kata kunci hasil. 1. Iterator mengembalikan elemen setiap kali dia memanggil seterusnya () dan melemparkan pengecualian berhenti apabila tidak ada lagi elemen. 2. Penjana menggunakan definisi fungsi untuk menghasilkan data atas permintaan, menjimatkan memori dan menyokong urutan tak terhingga. 3. Menggunakan Iterator apabila memproses set sedia ada, gunakan penjana apabila menghasilkan data besar secara dinamik atau penilaian malas, seperti garis pemuatan mengikut baris apabila membaca fail besar. NOTA: Objek yang boleh diperolehi seperti senarai bukanlah pengaliran. Mereka perlu dicipta semula selepas pemalar itu sampai ke penghujungnya, dan penjana hanya boleh melintasi sekali.
Python `@Classmethod` Decorator dijelaskan
Jul 04, 2025 am 03:26 AM
Kaedah kelas adalah kaedah yang ditakrifkan dalam python melalui penghias @classmethod. Parameter pertamanya adalah kelas itu sendiri (CLS), yang digunakan untuk mengakses atau mengubah keadaan kelas. Ia boleh dipanggil melalui kelas atau contoh, yang mempengaruhi seluruh kelas dan bukannya contoh tertentu; Sebagai contoh, dalam kelas orang, kaedah show_count () mengira bilangan objek yang dibuat; Apabila menentukan kaedah kelas, anda perlu menggunakan penghias @classmethod dan namakan parameter pertama CLS, seperti kaedah change_var (new_value) untuk mengubah suai pembolehubah kelas; Kaedah kelas adalah berbeza daripada kaedah contoh (parameter diri) dan kaedah statik (tiada parameter automatik), dan sesuai untuk kaedah kilang, pembina alternatif, dan pengurusan pembolehubah kelas. Kegunaan biasa termasuk:
Cara Mengendalikan Pengesahan API di Python
Jul 13, 2025 am 02:22 AM
Kunci untuk menangani pengesahan API adalah untuk memahami dan menggunakan kaedah pengesahan dengan betul. 1. Apikey adalah kaedah pengesahan yang paling mudah, biasanya diletakkan dalam tajuk permintaan atau parameter URL; 2. BasicAuth menggunakan nama pengguna dan kata laluan untuk penghantaran pengekodan Base64, yang sesuai untuk sistem dalaman; 3. OAuth2 perlu mendapatkan token terlebih dahulu melalui client_id dan client_secret, dan kemudian bawa bearertoken dalam header permintaan; 4. Untuk menangani tamat tempoh token, kelas pengurusan token boleh dikemas dan secara automatik menyegarkan token; Singkatnya, memilih kaedah yang sesuai mengikut dokumen dan menyimpan maklumat utama adalah kunci.
Apakah kaedah Magic Python atau kaedah dunder?
Jul 04, 2025 am 03:20 AM
MagicMethods Python (atau kaedah dunder) adalah kaedah khas yang digunakan untuk menentukan tingkah laku objek, yang bermula dan berakhir dengan garis bawah dua. 1. Mereka membolehkan objek bertindak balas terhadap operasi terbina dalam, seperti tambahan, perbandingan, perwakilan rentetan, dan sebagainya; 2. Kes penggunaan biasa termasuk inisialisasi objek dan perwakilan (__init__, __repr__, __str__), operasi aritmetik (__add__, __sub__, __mul__) dan operasi perbandingan (__eq__, ___lt__); 3. Apabila menggunakannya, pastikan tingkah laku mereka memenuhi jangkaan. Sebagai contoh, __repr__ harus mengembalikan ungkapan objek refortable, dan kaedah aritmetik harus mengembalikan contoh baru; 4. Perkara yang berlebihan atau mengelirukan harus dielakkan.
Bagaimanakah pengurusan memori python berfungsi?
Jul 04, 2025 am 03:26 AM
Pythonmanagesmemoryautomatically leverenceCountingandagarbageCollector.referenceCountingTrackShowmanyvariablesreferoanobject, dan yang mana -mana, dan yang mana -mana
Huraikan koleksi sampah Python di Python.
Jul 03, 2025 am 02:07 AM
Mekanisme pengumpulan sampah Python secara automatik menguruskan memori melalui pengiraan rujukan dan pengumpulan sampah berkala. Kaedah terasnya adalah penghitungan rujukan, yang segera melepaskan memori apabila bilangan rujukan objek adalah sifar; Tetapi ia tidak dapat mengendalikan rujukan bulat, jadi modul pengumpulan sampah (GC) diperkenalkan untuk mengesan dan membersihkan gelung. Pengumpulan sampah biasanya dicetuskan apabila kiraan rujukan berkurangan semasa operasi program, perbezaan peruntukan dan pelepasan melebihi ambang, atau apabila gc.collect () dipanggil secara manual. Pengguna boleh mematikan kitar semula automatik melalui gc.disable (), secara manual melaksanakan gc.collect (), dan menyesuaikan ambang untuk mencapai kawalan melalui gc.set_threshold (). Tidak semua objek mengambil bahagian dalam kitar semula gelung. Sekiranya objek yang tidak mengandungi rujukan diproses dengan mengira rujukan, ia terbina dalam
