🧱 はじめに

FastAPIの最終ステップでは、Webアプリケーションの根幹となる「セキュリティ対策」について深く掘り下げて学びます。セキュリティは、単にアクセスを制限するだけでなく、ユーザーのデータを守り、不正利用を防止し、信頼性の高いサービスを提供するための重要な要素です。
特に、ユーザー認証やパスワードの暗号化、OAuth2によるトークンベースの認可処理、さらにはJSON Web Token（JWT）を用いたより安全な認証方式など、実際のサービスで不可欠な機能を実装していきます。
この章では、FastAPIが提供する依存性注入（Depends）やセキュリティモジュールを駆使し、堅牢な認証機構を構築していきます。

🔐 パスワードのハッシュ化

ユーザーが入力したパスワードは、そのまま保存せずにハッシュ化するのが基本です。これは、万が一データベースが漏洩した場合でも、パスワードの漏洩を防ぐための必須対策です。Pythonでは passlib ライブラリが広く使われ、特に bcrypt アルゴリズムは信頼性が高いことで知られています。

pip install passlib[bcrypt]

以下は、パスワードのハッシュ化および照合を行うためのユーティリティ関数です：

from passlib.context import CryptContext

pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")

def hash_password(password: str) -> str:
    return pwd_context.hash(password)

def verify_password(plain_password: str, hashed_password: str) -> bool:
    return pwd_context.verify(plain_password, hashed_password)

このように、登録時には hash_password() を使い、ログイン時には verify_password() で照合を行います。

🧾 OAuth2によるトークン認証の準備

FastAPIでは、セキュアなトークンベース認証を簡単に構築できるよう、OAuth2PasswordBearer を用いた仕組みが提供されています。これはBearerトークンをヘッダーから抽出し、認証処理を行うためのモジュールです。

from fastapi import Depends, HTTPException, status
from fastapi.security import OAuth2PasswordBearer

oauth2_scheme = OAuth2PasswordBearer(tokenUrl="/token")

async def get_current_token(token: str = Depends(oauth2_scheme)):
    if token != "secrettoken123":
        raise HTTPException(status_code=401, detail="Invalid token")
    return token

この関数は保護されたエンドポイントで次のように使用します：

@app.get("/secure-data")
async def secure_data(token: str = Depends(get_current_token)):
    return {"message": "このデータは保護されています。"}

この構造を応用すれば、ログインしているユーザーのみがアクセスできるコンテンツを容易に実装できます。

📝 トークンを発行するエンドポイント

トークンベースの認証を行うには、クライアントにアクセストークンを発行する /token エンドポイントが必要です。このエンドポイントでは、ユーザー名とパスワードを受け取り、検証後にアクセストークンを返します。

from fastapi.security import OAuth2PasswordRequestForm

@app.post("/token")
async def login(form_data: OAuth2PasswordRequestForm = Depends()):
    username = form_data.username
    password = form_data.password
    # 実際にはデータベースでユーザー情報を確認し、パスワードの照合を行う
    if username == "user1" and password == "secret":
        return {"access_token": "secrettoken123", "token_type": "bearer"}
    raise HTTPException(status_code=400, detail="ユーザー名かパスワードが違います")

この /token にPOSTで username と password を送信すると、トークンが返され、それを用いて認証されたAPIへのアクセスが可能になります。

🔑 トークンを使って保護されたAPIにアクセス

Swagger UIでは、エンドポイント右上の「Authorize」ボタンをクリックすることでトークンを入力できます。トークンが認証されると、保護されたエンドポイントへのアクセスが許可されます。
このインターフェースにより、開発者やテスターは手軽に認証フローを体験し、APIの動作確認が行えます。アクセストークンが期限付きの場合は、定期的にトークンを更新する処理も加えるとより堅牢なシステムになります。

🚧 今後の応用：JWTや認可レベルの管理

より実用的なアプリケーションでは、アクセストークンとして「JSON Web Token（JWT）」を利用するのが一般的です。JWTはペイロード内にユーザー情報や有効期限を含めることができ、サーバー側で状態を持たずに認証を行えるため、スケーラブルな設計に適しています。
さらに、ユーザーごとにロール（admin、user、guest など）を割り当ててアクセス権を制御する「ロールベース認可」や、リフレッシュトークンを使って長期的なセッションを維持する仕組みなどもあります。
FastAPIでは、PyJWT や Authlib を組み合わせることで、こうした高度な認証設計を行うことができます。これらの実装を理解することで、本格的なWebサービス開発にも対応可能です。

🎯 まとめ

• FastAPIは、OAuth2に基づいた堅牢な認証・認可機能をシンプルに実装できる強力なフレームワークです。
• パスワードは絶対に平文で保存せず、passlib を使って安全にハッシュ化しましょう。
• トークンを使った認証は、モバイルアプリやフロントエンドSPAと相性が良く、拡張性にも優れています。
• 実用的な応用として、JWTやロールベース認可、リフレッシュトークンによるセッション維持なども視野に入れて設計しましょう。

以上で、FastAPIの「十歩」シリーズは完結です。

🎉 最後まで読んでいただき、ありがとうございました！

今後は、FastAPIとVueやReactを組み合わせたSPA構成、Dockerを使ったAPIのデプロイ、FastAPI＋SQLAlchemyによる本格的なバックエンド開発などにもチャレンジしてみてください。

株式会社ONE WEDGE

【Serverlessで世の中をもっと楽しく】 ONE WEDGEはServerlessシステム開発を中核技術としてWeb系システム開発、AWS/GCPを利用した業務システム・サービス開発、PWAを用いたモバイル開発、Alexaスキル開発など、元気と技術力を武器にお客様に真摯に向き合う価値創造企業です。
https://onewedge.co.jp/