FastAPI内置中间件教程：CORS和HTTPSRedirect详解

什么是中间件？

中间件是处理HTTP请求和响应的软件组件，它在请求到达路由处理函数之前或响应返回客户端之后执行。在FastAPI中，中间件可用于添加跨域支持、安全重定向、日志记录等功能，使Web应用更加强大和安全。FastAPI提供了一些内置中间件，让开发更便捷。

CORS中间件

什么是CORS？

CORS（Cross-Origin Resource Sharing，跨源资源共享）是一种安全机制，允许网页从不同域请求资源。在现代Web应用中，前端和后端可能部署在不同域名下，启用CORS可以避免浏览器阻止跨域请求，从而支持前后端分离的架构。

为什么需要CORS中间件？

如果不启用CORS，当您的FastAPI后端运行在http://localhost:8000，而前端应用运行在http://localhost:3000时，浏览器会因安全策略阻止跨域请求。添加CORS中间件后，后端可以明确允许特定来源的请求。

如何使用CORS中间件

FastAPI通过fastapi.middleware.cors模块提供CORSMiddleware。您可以轻松将其添加到应用中并配置参数。

示例代码：

from fastapi import FastAPI
from fastapi.middleware.cors import CORSMiddleware

app = FastAPI()

# 添加CORS中间件
app.add_middleware(
    CORSMiddleware,
    allow_origins=["http://localhost:3000"],  # 允许的前端来源
    allow_credentials=True,  # 允许发送凭据（如cookies）
    allow_methods=["*"],  # 允许所有HTTP方法（GET、POST等）
    allow_headers=["*"],  # 允许所有请求头
)

@app.get("/")
async def root():
    return {"message": "Hello, World!"}

• allow_origins：列表类型，指定允许的源（如["http://localhost:3000"]），使用["*"]允许所有源，但不推荐在生产环境中使用。
• allow_credentials：布尔值，设置为True以允许携带凭据的请求。
• allow_methods：列表，定义允许的HTTP方法，例如["GET", "POST"]。
• allow_headers：列表，指定允许的请求头。

应用场景

• 开发环境：允许本地前端访问后端API。
• 生产环境：配置为只允许可信域名的请求，以增强安全性。

HTTPSRedirect中间件

什么是HTTPSRedirect？

HTTPSRedirect中间件强制将所有HTTP请求重定向到HTTPS，确保数据传输加密，提高应用安全性。这在生产环境中非常重要，可以防止中间人攻击和数据泄露。

为什么需要HTTPSRedirect中间件？

当您的应用部署到生产服务器时，应使用HTTPS来加密通信。此中间件自动将所有HTTP请求（如http://example.com）重定向到HTTPS版本（https://example.com），简化配置并增强用户体验。

如何使用HTTPSRedirect中间件

FastAPI通过fastapi.middleware.httpsredirect模块提供HTTPSRedirectMiddleware。在应用中添加此中间件即可启用重定向。

示例代码：

from fastapi import FastAPI
from fastapi.middleware.httpsredirect import HTTPSRedirectMiddleware

app = FastAPI()

# 添加HTTPSRedirect中间件
app.add_middleware(HTTPSRedirectMiddleware)

@app.get("/")
async def root():
    return {"message": "Hello, over HTTPS!"}

注意事项

• 此中间件应在支持HTTPS的环境中启用，例如部署到云服务器并使用SSL证书。
• 在开发环境，如果服务器未配置HTTPS，重定向可能会导致错误。建议在开发时禁用或注释掉此中间件。
• 通常与ASGI服务器（如Uvicorn）或反向代理（如Nginx）配合使用，后者处理SSL证书和重定向逻辑。

示例应用：集成CORS和HTTPSRedirect

下面是一个完整的FastAPI应用示例，同时启用CORS和HTTPSRedirect中间件，适合学习和实验。

from fastapi import FastAPI
from fastapi.middleware.cors import CORSMiddleware
from fastapi.middleware.httpsredirect import HTTPSRedirectMiddleware

app = FastAPI()

# 添加HTTPSRedirect中间件（根据环境启用）
# 生产环境：取消注释以下行
# app.add_middleware(HTTPSRedirectMiddleware)

# 添加CORS中间件
app.add_middleware(
    CORSMiddleware,
    allow_origins=["http://localhost:3000"],  # 开发前端地址
    allow_credentials=True,
    allow_methods=["*"],
    allow_headers=["*"],
)

@app.get("/")
async def root():
    return {"message": "FastAPI应用，支持CORS和HTTPS重定向"}

@app.get("/items/{item_id}")
async def read_item(item_id: int):
    return {"item_id": item_id}

运行说明

1. 保存代码到文件，例如main.py。
2. 在终端运行：uvicorn main:app --reload（开发环境）。
3. 访问http://localhost:8000查看应用。如果您启用了HTTPSRedirect，请确保服务器支持HTTPS，否则可能无法正常访问。

总结与最佳实践

• CORS中间件：在开发和生产环境中配置适当的允许来源，避免使用"*"以增强安全性。
• HTTPSRedirect中间件：仅在部署到HTTPS环境时启用，开发环境可暂时禁用。
• 结合使用：许多应用需要同时处理跨域和安全重定向，如本教程所示，灵活配置以适应不同场景。

FastAPI还提供其他内置中间件，如TrustedHostMiddleware用于验证主机头，您可以在FastAPI官方文档中探索更多功能。通过掌握这些中间件，您可以快速构建强大、安全的Web应用。

如果您是新手，建议先从基础路由和依赖项学起，再逐步集成中间件。实践是学习的关键，尝试修改示例代码并观察结果。