desungongpai/app/dependencies.py

"""
Shared FastAPI dependencies.
Supports master API key (env) and database-managed API keys with permission levels.
Includes in-memory cache to avoid DB lookup on every request.
"""

import hashlib
import secrets
import time

from fastapi import Depends, HTTPException, Request, Security
from fastapi.security import APIKeyHeader
from sqlalchemy import select
from sqlalchemy.ext.asyncio import AsyncSession

from app.config import settings
from app.database import get_db

_api_key_header = APIKeyHeader(name="X-API-Key", auto_error=False)

# Permission hierarchy: admin > write > read
_PERMISSION_LEVELS = {"read": 1, "write": 2, "admin": 3}

# In-memory auth cache: {key_hash: (result_dict, expire_timestamp)}
_AUTH_CACHE: dict[str, tuple[dict, float]] = {}
_AUTH_CACHE_TTL = 60  # seconds


def _hash_key(key: str) -> str:
    """SHA-256 hash of an API key."""
    return hashlib.sha256(key.encode()).hexdigest()


async def verify_api_key(
    request: Request,
    api_key: str | None = Security(_api_key_header),
    db: AsyncSession = Depends(get_db),
) -> dict | None:
    """Verify API key. Returns key info dict or None (auth disabled).

    Checks master key first, then in-memory cache, then database keys.
    Returns {"permissions": "admin"|"write"|"read", "key_id": int|None, "name": str}.
    """
    if settings.API_KEY is None:
        return None  # Auth disabled

    if api_key is None:
        raise HTTPException(status_code=401, detail="Missing API key / 缺少 API Key")

    # Check master key
    if secrets.compare_digest(api_key, settings.API_KEY):
        info = {"permissions": "admin", "key_id": None, "name": "master"}
        request.state.key_info = info
        return info

    # Check in-memory cache first
    key_hash = _hash_key(api_key)
    now = time.monotonic()
    cached = _AUTH_CACHE.get(key_hash)
    if cached is not None:
        result, expires = cached
        if now < expires:
            return result

    # Check database keys
    from app.models import ApiKey

    result = await db.execute(
        select(ApiKey).where(ApiKey.key_hash == key_hash, ApiKey.is_active == True)  # noqa: E712
    )
    db_key = result.scalar_one_or_none()
    if db_key is None:
        _AUTH_CACHE.pop(key_hash, None)
        raise HTTPException(status_code=401, detail="Invalid API key / 无效的 API Key")

    # Update last_used_at (deferred — only on cache miss, not every request)
    from app.config import now_cst
    db_key.last_used_at = now_cst()
    await db.flush()

    key_info = {"permissions": db_key.permissions, "key_id": db_key.id, "name": db_key.name}
    _AUTH_CACHE[key_hash] = (key_info, now + _AUTH_CACHE_TTL)
    request.state.key_info = key_info
    return key_info


def require_permission(min_level: str):
    """Factory for permission-checking dependencies."""

    async def _check(key_info: dict | None = Depends(verify_api_key)):
        if key_info is None:
            return  # Auth disabled
        current = _PERMISSION_LEVELS.get(key_info["permissions"], 0)
        required = _PERMISSION_LEVELS.get(min_level, 0)
        if current < required:
            raise HTTPException(
                status_code=403,
                detail=f"Insufficient permissions. Requires '{min_level}' / 权限不足，需要 '{min_level}' 权限",
            )
        return key_info

    return _check


require_write = require_permission("write")
require_admin = require_permission("admin")
feat: KKS P240/P241 蓝牙工牌管理系统初始提交 FastAPI + SQLAlchemy + asyncio TCP 服务器，支持设备管理、实时定位、告警、考勤打卡、蓝牙记录、指令下发、TTS语音播报等功能。 2026-03-27 10:19:34 +00:00			`"""`
			`Shared FastAPI dependencies.`
			`Supports master API key (env) and database-managed API keys with permission levels.`
feat: 性能优化 + 设备总览轨迹展示 + 广播指令API 性能: SQLite WAL模式、aiohttp Session复用、TCP连接锁+空闲超时、 device_id缓存、WebSocket并发广播、API Key认证缓存、围栏N+1查询批量化、逆地理编码并行化、新增5个DB索引、日志降级DEBUG 功能: 广播指令API(broadcast)、exclude_type低精度后端过滤、前端设备总览Tab+多设备轨迹叠加+高亮联动+搜索+专属颜色 via [HAPI](https://hapi.run) Co-Authored-By: HAPI <noreply@hapi.run> 2026-03-31 09:41:09 +00:00			`Includes in-memory cache to avoid DB lookup on every request.`
feat: KKS P240/P241 蓝牙工牌管理系统初始提交 FastAPI + SQLAlchemy + asyncio TCP 服务器，支持设备管理、实时定位、告警、考勤打卡、蓝牙记录、指令下发、TTS语音播报等功能。 2026-03-27 10:19:34 +00:00			`"""`

			`import hashlib`
			`import secrets`
feat: 性能优化 + 设备总览轨迹展示 + 广播指令API 性能: SQLite WAL模式、aiohttp Session复用、TCP连接锁+空闲超时、 device_id缓存、WebSocket并发广播、API Key认证缓存、围栏N+1查询批量化、逆地理编码并行化、新增5个DB索引、日志降级DEBUG 功能: 广播指令API(broadcast)、exclude_type低精度后端过滤、前端设备总览Tab+多设备轨迹叠加+高亮联动+搜索+专属颜色 via [HAPI](https://hapi.run) Co-Authored-By: HAPI <noreply@hapi.run> 2026-03-31 09:41:09 +00:00			`import time`
feat: KKS P240/P241 蓝牙工牌管理系统初始提交 FastAPI + SQLAlchemy + asyncio TCP 服务器，支持设备管理、实时定位、告警、考勤打卡、蓝牙记录、指令下发、TTS语音播报等功能。 2026-03-27 10:19:34 +00:00
feat: 信标设备绑定 + 蓝牙模式管理 + 系统管理增强 + 数据导出 - 新增 DeviceBeaconBinding 模型，信标-设备多对多绑定 CRUD - 蓝牙打卡模式批量配置/恢复正常模式 API - 反向同步: 查询设备 BTMACSET 配置更新数据库绑定 (独立 session 解决事务隔离) - 设备列表快捷操作弹窗修复 (fire-and-forget IIFE 替代阻塞轮询) - 保存按钮防抖: 围栏/信标绑定保存点击后 disabled + 转圈防重复提交 - 审计日志中间件 + 系统配置/备份/固件 API - 设备分组管理 + 告警规则配置 - 5个数据导出 API (CSV UTF-8 BOM) - 位置热力图 + 告警条件删除 + 位置清理 via [HAPI](https://hapi.run) Co-Authored-By: HAPI <noreply@hapi.run> 2026-04-01 07:06:37 +00:00			`from fastapi import Depends, HTTPException, Request, Security`
feat: KKS P240/P241 蓝牙工牌管理系统初始提交 FastAPI + SQLAlchemy + asyncio TCP 服务器，支持设备管理、实时定位、告警、考勤打卡、蓝牙记录、指令下发、TTS语音播报等功能。 2026-03-27 10:19:34 +00:00			`from fastapi.security import APIKeyHeader`
			`from sqlalchemy import select`
			`from sqlalchemy.ext.asyncio import AsyncSession`

			`from app.config import settings`
			`from app.database import get_db`

			`_api_key_header = APIKeyHeader(name="X-API-Key", auto_error=False)`

			`# Permission hierarchy: admin > write > read`
			`_PERMISSION_LEVELS = {"read": 1, "write": 2, "admin": 3}`

feat: 性能优化 + 设备总览轨迹展示 + 广播指令API 性能: SQLite WAL模式、aiohttp Session复用、TCP连接锁+空闲超时、 device_id缓存、WebSocket并发广播、API Key认证缓存、围栏N+1查询批量化、逆地理编码并行化、新增5个DB索引、日志降级DEBUG 功能: 广播指令API(broadcast)、exclude_type低精度后端过滤、前端设备总览Tab+多设备轨迹叠加+高亮联动+搜索+专属颜色 via [HAPI](https://hapi.run) Co-Authored-By: HAPI <noreply@hapi.run> 2026-03-31 09:41:09 +00:00			`# In-memory auth cache: {key_hash: (result_dict, expire_timestamp)}`
			`_AUTH_CACHE: dict[str, tuple[dict, float]] = {}`
			`_AUTH_CACHE_TTL = 60 # seconds`

feat: KKS P240/P241 蓝牙工牌管理系统初始提交 FastAPI + SQLAlchemy + asyncio TCP 服务器，支持设备管理、实时定位、告警、考勤打卡、蓝牙记录、指令下发、TTS语音播报等功能。 2026-03-27 10:19:34 +00:00
			`def _hash_key(key: str) -> str:`
			`"""SHA-256 hash of an API key."""`
			`return hashlib.sha256(key.encode()).hexdigest()`


			`async def verify_api_key(`
feat: 信标设备绑定 + 蓝牙模式管理 + 系统管理增强 + 数据导出 - 新增 DeviceBeaconBinding 模型，信标-设备多对多绑定 CRUD - 蓝牙打卡模式批量配置/恢复正常模式 API - 反向同步: 查询设备 BTMACSET 配置更新数据库绑定 (独立 session 解决事务隔离) - 设备列表快捷操作弹窗修复 (fire-and-forget IIFE 替代阻塞轮询) - 保存按钮防抖: 围栏/信标绑定保存点击后 disabled + 转圈防重复提交 - 审计日志中间件 + 系统配置/备份/固件 API - 设备分组管理 + 告警规则配置 - 5个数据导出 API (CSV UTF-8 BOM) - 位置热力图 + 告警条件删除 + 位置清理 via [HAPI](https://hapi.run) Co-Authored-By: HAPI <noreply@hapi.run> 2026-04-01 07:06:37 +00:00			`request: Request,`
feat: KKS P240/P241 蓝牙工牌管理系统初始提交 FastAPI + SQLAlchemy + asyncio TCP 服务器，支持设备管理、实时定位、告警、考勤打卡、蓝牙记录、指令下发、TTS语音播报等功能。 2026-03-27 10:19:34 +00:00			`api_key: str \| None = Security(_api_key_header),`
			`db: AsyncSession = Depends(get_db),`
			`) -> dict \| None:`
			`"""Verify API key. Returns key info dict or None (auth disabled).`

feat: 性能优化 + 设备总览轨迹展示 + 广播指令API 性能: SQLite WAL模式、aiohttp Session复用、TCP连接锁+空闲超时、 device_id缓存、WebSocket并发广播、API Key认证缓存、围栏N+1查询批量化、逆地理编码并行化、新增5个DB索引、日志降级DEBUG 功能: 广播指令API(broadcast)、exclude_type低精度后端过滤、前端设备总览Tab+多设备轨迹叠加+高亮联动+搜索+专属颜色 via [HAPI](https://hapi.run) Co-Authored-By: HAPI <noreply@hapi.run> 2026-03-31 09:41:09 +00:00			`Checks master key first, then in-memory cache, then database keys.`
feat: KKS P240/P241 蓝牙工牌管理系统初始提交 FastAPI + SQLAlchemy + asyncio TCP 服务器，支持设备管理、实时定位、告警、考勤打卡、蓝牙记录、指令下发、TTS语音播报等功能。 2026-03-27 10:19:34 +00:00			`Returns {"permissions": "admin"\|"write"\|"read", "key_id": int\|None, "name": str}.`
			`"""`
			`if settings.API_KEY is None:`
			`return None # Auth disabled`

			`if api_key is None:`
			`raise HTTPException(status_code=401, detail="Missing API key / 缺少 API Key")`

			`# Check master key`
			`if secrets.compare_digest(api_key, settings.API_KEY):`
feat: 信标设备绑定 + 蓝牙模式管理 + 系统管理增强 + 数据导出 - 新增 DeviceBeaconBinding 模型，信标-设备多对多绑定 CRUD - 蓝牙打卡模式批量配置/恢复正常模式 API - 反向同步: 查询设备 BTMACSET 配置更新数据库绑定 (独立 session 解决事务隔离) - 设备列表快捷操作弹窗修复 (fire-and-forget IIFE 替代阻塞轮询) - 保存按钮防抖: 围栏/信标绑定保存点击后 disabled + 转圈防重复提交 - 审计日志中间件 + 系统配置/备份/固件 API - 设备分组管理 + 告警规则配置 - 5个数据导出 API (CSV UTF-8 BOM) - 位置热力图 + 告警条件删除 + 位置清理 via [HAPI](https://hapi.run) Co-Authored-By: HAPI <noreply@hapi.run> 2026-04-01 07:06:37 +00:00			`info = {"permissions": "admin", "key_id": None, "name": "master"}`
			`request.state.key_info = info`
			`return info`
feat: KKS P240/P241 蓝牙工牌管理系统初始提交 FastAPI + SQLAlchemy + asyncio TCP 服务器，支持设备管理、实时定位、告警、考勤打卡、蓝牙记录、指令下发、TTS语音播报等功能。 2026-03-27 10:19:34 +00:00
feat: 性能优化 + 设备总览轨迹展示 + 广播指令API 性能: SQLite WAL模式、aiohttp Session复用、TCP连接锁+空闲超时、 device_id缓存、WebSocket并发广播、API Key认证缓存、围栏N+1查询批量化、逆地理编码并行化、新增5个DB索引、日志降级DEBUG 功能: 广播指令API(broadcast)、exclude_type低精度后端过滤、前端设备总览Tab+多设备轨迹叠加+高亮联动+搜索+专属颜色 via [HAPI](https://hapi.run) Co-Authored-By: HAPI <noreply@hapi.run> 2026-03-31 09:41:09 +00:00			`# Check in-memory cache first`
			`key_hash = _hash_key(api_key)`
			`now = time.monotonic()`
			`cached = _AUTH_CACHE.get(key_hash)`
			`if cached is not None:`
			`result, expires = cached`
			`if now < expires:`
			`return result`

feat: KKS P240/P241 蓝牙工牌管理系统初始提交 FastAPI + SQLAlchemy + asyncio TCP 服务器，支持设备管理、实时定位、告警、考勤打卡、蓝牙记录、指令下发、TTS语音播报等功能。 2026-03-27 10:19:34 +00:00			`# Check database keys`
			`from app.models import ApiKey`

			`result = await db.execute(`
			`select(ApiKey).where(ApiKey.key_hash == key_hash, ApiKey.is_active == True) # noqa: E712`
			`)`
			`db_key = result.scalar_one_or_none()`
			`if db_key is None:`
feat: 性能优化 + 设备总览轨迹展示 + 广播指令API 性能: SQLite WAL模式、aiohttp Session复用、TCP连接锁+空闲超时、 device_id缓存、WebSocket并发广播、API Key认证缓存、围栏N+1查询批量化、逆地理编码并行化、新增5个DB索引、日志降级DEBUG 功能: 广播指令API(broadcast)、exclude_type低精度后端过滤、前端设备总览Tab+多设备轨迹叠加+高亮联动+搜索+专属颜色 via [HAPI](https://hapi.run) Co-Authored-By: HAPI <noreply@hapi.run> 2026-03-31 09:41:09 +00:00			`_AUTH_CACHE.pop(key_hash, None)`
feat: KKS P240/P241 蓝牙工牌管理系统初始提交 FastAPI + SQLAlchemy + asyncio TCP 服务器，支持设备管理、实时定位、告警、考勤打卡、蓝牙记录、指令下发、TTS语音播报等功能。 2026-03-27 10:19:34 +00:00			`raise HTTPException(status_code=401, detail="Invalid API key / 无效的 API Key")`

feat: 性能优化 + 设备总览轨迹展示 + 广播指令API 性能: SQLite WAL模式、aiohttp Session复用、TCP连接锁+空闲超时、 device_id缓存、WebSocket并发广播、API Key认证缓存、围栏N+1查询批量化、逆地理编码并行化、新增5个DB索引、日志降级DEBUG 功能: 广播指令API(broadcast)、exclude_type低精度后端过滤、前端设备总览Tab+多设备轨迹叠加+高亮联动+搜索+专属颜色 via [HAPI](https://hapi.run) Co-Authored-By: HAPI <noreply@hapi.run> 2026-03-31 09:41:09 +00:00			`# Update last_used_at (deferred — only on cache miss, not every request)`
feat: 高德IoT v5 API升级、电子围栏管理、设备绑定自动考勤 - 前向地理编码升级为高德IoT v5 API (POST restapi.amap.com/v5/position/IoT) - 修复LBS定位偏差: 添加network=LTE参数区分4G/2G, bts格式补充cage字段 - 新增电子围栏管理模块 (circle/polygon/rectangle), 支持地图绘制和POI搜索 - 新增设备-围栏多对多绑定 (DeviceFenceBinding/DeviceFenceState) - 围栏自动考勤引擎 (fence_checker.py): haversine距离、ray-casting多边形判定、容差机制、防抖 - TCP位置上报自动检测围栏进出, 生成考勤记录并WebSocket广播 - 前端围栏页面: 绑定设备弹窗、POI搜索定位、左侧围栏面板 - 新增fence_attendance WebSocket topic via [HAPI](https://hapi.run) Co-Authored-By: HAPI <noreply@hapi.run> 2026-03-27 13:04:11 +00:00			`from app.config import now_cst`
			`db_key.last_used_at = now_cst()`
feat: KKS P240/P241 蓝牙工牌管理系统初始提交 FastAPI + SQLAlchemy + asyncio TCP 服务器，支持设备管理、实时定位、告警、考勤打卡、蓝牙记录、指令下发、TTS语音播报等功能。 2026-03-27 10:19:34 +00:00			`await db.flush()`

feat: 性能优化 + 设备总览轨迹展示 + 广播指令API 性能: SQLite WAL模式、aiohttp Session复用、TCP连接锁+空闲超时、 device_id缓存、WebSocket并发广播、API Key认证缓存、围栏N+1查询批量化、逆地理编码并行化、新增5个DB索引、日志降级DEBUG 功能: 广播指令API(broadcast)、exclude_type低精度后端过滤、前端设备总览Tab+多设备轨迹叠加+高亮联动+搜索+专属颜色 via [HAPI](https://hapi.run) Co-Authored-By: HAPI <noreply@hapi.run> 2026-03-31 09:41:09 +00:00			`key_info = {"permissions": db_key.permissions, "key_id": db_key.id, "name": db_key.name}`
			`_AUTH_CACHE[key_hash] = (key_info, now + _AUTH_CACHE_TTL)`
feat: 信标设备绑定 + 蓝牙模式管理 + 系统管理增强 + 数据导出 - 新增 DeviceBeaconBinding 模型，信标-设备多对多绑定 CRUD - 蓝牙打卡模式批量配置/恢复正常模式 API - 反向同步: 查询设备 BTMACSET 配置更新数据库绑定 (独立 session 解决事务隔离) - 设备列表快捷操作弹窗修复 (fire-and-forget IIFE 替代阻塞轮询) - 保存按钮防抖: 围栏/信标绑定保存点击后 disabled + 转圈防重复提交 - 审计日志中间件 + 系统配置/备份/固件 API - 设备分组管理 + 告警规则配置 - 5个数据导出 API (CSV UTF-8 BOM) - 位置热力图 + 告警条件删除 + 位置清理 via [HAPI](https://hapi.run) Co-Authored-By: HAPI <noreply@hapi.run> 2026-04-01 07:06:37 +00:00			`request.state.key_info = key_info`
feat: 性能优化 + 设备总览轨迹展示 + 广播指令API 性能: SQLite WAL模式、aiohttp Session复用、TCP连接锁+空闲超时、 device_id缓存、WebSocket并发广播、API Key认证缓存、围栏N+1查询批量化、逆地理编码并行化、新增5个DB索引、日志降级DEBUG 功能: 广播指令API(broadcast)、exclude_type低精度后端过滤、前端设备总览Tab+多设备轨迹叠加+高亮联动+搜索+专属颜色 via [HAPI](https://hapi.run) Co-Authored-By: HAPI <noreply@hapi.run> 2026-03-31 09:41:09 +00:00			`return key_info`
feat: KKS P240/P241 蓝牙工牌管理系统初始提交 FastAPI + SQLAlchemy + asyncio TCP 服务器，支持设备管理、实时定位、告警、考勤打卡、蓝牙记录、指令下发、TTS语音播报等功能。 2026-03-27 10:19:34 +00:00

			`def require_permission(min_level: str):`
			`"""Factory for permission-checking dependencies."""`

			`async def _check(key_info: dict \| None = Depends(verify_api_key)):`
			`if key_info is None:`
			`return # Auth disabled`
			`current = _PERMISSION_LEVELS.get(key_info["permissions"], 0)`
			`required = _PERMISSION_LEVELS.get(min_level, 0)`
			`if current < required:`
			`raise HTTPException(`
			`status_code=403,`
			`detail=f"Insufficient permissions. Requires '{min_level}' / 权限不足，需要 '{min_level}' 权限",`
			`)`
			`return key_info`

			`return _check`


			`require_write = require_permission("write")`
			`require_admin = require_permission("admin")`