如何在 Starlette/FastAPI 中进行客户端证书验证 (mTLS)

【问题标题】:How to do client certificate verification (mTLS) in Starlette/FastAPI如何在 Starlette/FastAPI 中进行客户端证书验证 (mTLS)
【发布时间】:2020-01-07 22:55:21
【问题描述】:

我正在考虑使用 FastAPI 框架来实现相当简单的 API,但它需要支持 mTLS。 AFAIK FastAPI 基于 Starlette。是否可以在 Starlette 中查看客户端证书?

【问题讨论】:

  • 一切皆有可能,但在网络服务器(nginx、apache 等)上处理 SSL 并将元标头转发到上游应用程序不是更容易吗?
  • @HeddevanderHeide 可能是这样,但在我的情况下,客户端识别应基于证书和要通过相同 API 注册的证书来完成,因此基于 nginx 的设置可能非常复杂。目前正在考虑不同的选择。实际上,我遇到了这个基于ajg.id.au/2018/01/01/mutual-tls-with-python-flask-and-werkzeug WSGI 的解决方案,并认为可以使用 ASGI/Starlette 进行类似的操作。可惜我在这个话题上的经验还不够,所以我一直在寻找熟悉这个话题的人的一些提示。
  • 我希望@tomchristie 可以帮助解决这个问题
  • 您能否举个例子说明这是如何完成的,或者指出我的某个地方?我正在努力寻找有用的文档。谢谢。

标签: fastapi asgi starlette mtls


【解决方案1】:

不,根据Starlette documentation,您可以使用 HTTPSRedirectMiddleware 来强制使用 https,但 Starlette 中没有原生实现证书验证。 p>

您可以自己重新实现证书验证,但这会很脏……在我看来,最好的办法是直接在网络服务器或中间件上处理证书验证。

您可以使用uwsgitreat client certificate authentification 或(重新)使用Flask + Gunicorn 实现您的api,这将允许您进行客户端证书验证。 (例如here

【讨论】:

  • 感谢您的回答。我们最终使用 Gunicorn 检查客户端证书(API 本身正在使用 FastAPI 实现并使用 uvicorn 运行)。
猜你喜欢
  • 2021-11-01
  • 2020-11-13
  • 2021-05-01
  • 2012-01-10
  • 1970-01-01
  • 2014-08-23
  • 2012-02-23
  • 1970-01-01
  • 2018-10-15
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode