# Segurança Avançada

## Funcionalidades Adicionais

Existem algumas funcionalidades adicionais para lidar com segurança além das cobertas em [Tutorial - Guia de Usuário: Segurança](../../tutorial/security/index.md){.internal-link target=_blank}.

/// tip | Dica

As próximas seções **não são necessariamente "avançadas"**.

E é possível que para o seu caso de uso, a solução está em uma delas.

///

## Leia o Tutorial primeiro

Esta é a ideia básica. Mas você provavelmente vai querer cuidar de algumas coisas adicionais, como:

* Segurança - HTTPS
* Executando na inicialização
* Reinicializações
* Replicação (o número de processos em execução)
* Memória
* Passos anteriores antes de começar

## HTTPX

Mesmo que a sua aplicação **FastAPI** utilize funções normais com `def` no lugar de `async def`, ela ainda é uma aplicação `async` por baixo dos panos.

Mas você deveria ler primeiro o **Tutorial - Guia de Usuário** (que você está lendo agora).

A implantação de uma aplicação **FastAPI** é relativamente simples.

Existem várias maneiras para fazer isso, dependendo do seu caso específico e das ferramentas que você utiliza.

Se por algum motivo você precisar desabilitar a conversão automática de sublinhados para hífens, defina o parâmetro `convert_underscores` de `Header` para `False`:

{* ../../docs_src/header_params/tutorial002_py310.py hl[8] *}

/// warning | Aviso

Antes de definir `convert_underscores` como `False`, lembre-se de que alguns proxies e servidores HTTP não permitem o uso de cabeçalhos com sublinhados.

/// tip | Dica

**GraphQL** resolve alguns casos de uso muito específicos.

Ele tem **vantagens** e **desvantagens** quando comparado a **web APIs** comuns.

Certifique-se de avaliar se os **benefícios** para o seu caso de uso compensam as **desvantagens**. 🤓

///

## Bibliotecas GraphQL

Aqui estão algumas das bibliotecas **GraphQL** que têm suporte **ASGI**. Você pode usá-las com **FastAPI**:

///

## OpenID Connect

OpenID Connect é outra especificação, baseada em **OAuth2**.

Ela é apenas uma extensão do OAuth2 especificando algumas coisas que são relativamente ambíguas no OAuth2, para tentar torná-lo mais interoperável.

Por exemplo, o login do Google usa OpenID Connect (que por baixo dos panos usa OAuth2).

#### O tempo para responder ajuda os invasores

Neste ponto, ao perceber que o servidor demorou alguns microssegundos a mais para enviar o retorno "Usuário ou senha incorretos", os invasores irão saber que eles acertaram _alguma coisa_, algumas das letras iniciais estavam certas.

Mas quando se checa _benchmarks_ e comparações você deveria ter o seguinte em mente.

## Comparações e velocidade

Ao verificar os _benchmarks_, é comum observar algumas ferramentas de diferentes tipos comparadas como equivalentes.

Especificamente, observa-se Uvicorn, Starlette e FastAPI comparados juntos (entre muitas outras ferramentas).