شرح بسيط لمصادقة بايثون وأمن الويب (مع مخططات وكود حقيقي)
بايثون أوث أمان الويب: الأساسيات في مقال واحد — كود حقيقي، مخططات وخطوات ملموسة، مقتطفات من دورة مكونة من 44 درسًا.
دليل مباشر إلى الهدف: Python Auth Sécurité Web مفكك بالرسوم البيانية والأمثلة العملية والأوامر المختبرة. كل ذلك مستمد من دورة منظمة تضم 11 فصلاً — وإليك أفضل ما فيها.
tl;dr
- مقدمة وتثبيت
- أساسيات المصادقة
- JWT (JSON Web Tokens)
- OAuth2 - التدفقات والمفاهيم
- OAuth2 مع مزودين خارجيين
~$ cat ./parcours.md # Python Auth Sécurité Web — 10 فصول
01
مقدمة وتثبيت
→ عرض الدورة وتحديات أمن الويب→ تثبيت Python و FastAPI ومكتبات الأمان+ 1 دروس أخرى
02
أساسيات المصادقة
→ المصادقة مقابل التفويض: لا تخلط بينهما→ الجلسات مقابل الرموز: مقارنة وحالات الاستخدام+ 2 دروس أخرى
03
JWT (JSON Web Tokens)
→ تشريح JWT (header, payload, signature)→ توليد وتوقيع الرموز (HS256 vs RS256)+ 2 دروس أخرى
04
OAuth2 - التدفقات والمفاهيم
→ فهم OAuth2: لماذا وكيف→ تدفق رمز التفويض (الأكثر شيوعًا)+ 2 دروس أخرى
05
OAuth2 مع مزودين خارجيين
→ تسجيل الدخول باستخدام Google (OAuth2 + OIDC)→ تسجيل الدخول باستخدام GitHub (OAuth2)+ 1 دروس أخرى
06
التفويض (RBAC, ABAC)
→ RBAC : التحكم في الوصول بناءً على الدور→ ABAC : التحكم في الوصول بناءً على السمات+ 2 دروس أخرى
07
الحماية ضد الهجمات
→ حقن SQL: فهم ومنع→ XSS و CSRF: الهجمات من جانب المتصفح+ 3 دروس أخرى
08
المصادقة متعددة العوامل
→ TOTP: كلمة مرور لمرة واحدة مبنية على الوقت→ الرموز عبر البريد الإلكتروني والرسائل النصية: المزايا والقيود+ 1 دروس أخرى
🏁
المشروع النهائي (+ 2 فصول في الطريق)
→ تغادر بمشروع ملموس وقابل للعرض
TOTP : كلمة مرور لمرة واحدة مبنية على الوقت
NOTEالهدف — تنفيذ TOTP باستخدام pyotp لإضافة طبقة مصادقة ثنائية 2FA متوافقة مع Google Authenticator / Authy.
الأهداف التعليمية
TIPعند إتمام هذه الوحدة
- فهم آلية TOTP (HMAC + الوقت)
- توليد سر لكل مستخدم
- عرض رمز QR للتسجيل
- التحقق من رمز TOTP عند تسجيل الدخول
كيف يعمل TOTP
TOTP (RFC 6238) هو OTP يعتمد على HMAC-SHA1 والوقت. يمتلك الخادم والتطبيق المحمول سرًا مشتركًا ويحسبان نفس الرمز بدقة 30 ثانية.
التسجيل وتسجيل الدخول بـ JWT وإعادة تعيين كلمة المرور
NOTEالهدف — برمجة تدفق المصادقة الكامل: التسجيل، تسجيل الدخول بـ JWT، نسيان كلمة المرور، وتغيير كلمة المرور.
الأهداف التعليمية
TIPعند إتمام هذه الوحدة
- تنفيذ التسجيل مع التحقق ورسالة الترحيب بالبريد
- تسجيل الدخول يُرجع access + refresh tokens
- إعادة تعيين كلمة المرور عبر رمز بريد إلكتروني للاستخدام مرة واحدة
- تغيير كلمة المرور بعد المصادقة
مخططات Pydantic
النشر الآمن في الإنتاج
NOTEالهدف — نشر SaaS في بيئة الإنتاج مع كافة إجراءات الأمان: HTTPS، مخزن الأسرار، المراقبة، النسخ الاحتياطي، والتدوير.
الأهداف التعليمية
TIPعند إتمام هذه الوحدة
- تجهيز المشروع للإنتاج
- تهيئة reverse proxy + HTTPS
- تخزين الأسرار في vault
- إعداد النسخ الاحتياطي + التدوير
قائمة التحقق قبل النشر
تعطيل Swagger في الإنتاج
va-plus-loin
يغطي هذا المقال أكثر المقتطفات فائدة — الدورة الكاملة Python Auth Sécurité Web (11 فصلاً، 44 درسًا، تمارين محلولة ومشروع نهائي) تأخذك حتى النهاية.
./acceder-au-cours-complet cours gratuit : Vibe Codingالأسئلة الشائعة
كم من الوقت يلزم لتعلم Python Auth Sécurité Web؟
مع تقدم منظم (11 فصلاً، 44 درسًا قصيرًا وعمليًا)، يمكن الوصول إلى مستوى تشغيلي خلال أسابيع قليلة بمعدل 30 إلى 60 دقيقة يوميًا. المهم هو تطبيق كل مفهوم فورًا.
هل هناك متطلبات سابقة؟
يفضل الإلمام بأساسيات المجال: هذا المحتوى يتعمق مع حالات حقيقية.
من أين أبدأ عمليًا؟
طبّق أوامر هذا المقال، ثم تابع الدورة الكاملة Python Auth Sécurité Web: فهي تربط الـ 44 درسًا بالترتيب مع تمارين ومشروع نهائي.
./a-lire-aussi
→ Lance-toi en Portfolio IA SEO Vercel : ton premier pas concret aujourd'hui→ IA Stripe GitHub SaaS en pratique : le code et les commandes qui comptent vraiment→ Python Requests APIs expliqué simplement (avec schémas et vrai code)📬 هل تريد تلقي هذا النوع من الأدلة كل أسبوع؟ اشترك مجانًا — كود حقيقي، بدون حشو.