Néanmoins, bien que nous n’utilisions pas la fonctionnalité intégrée par défaut, nous utilisons toujours un modèle Pydantic pour générer manuellement le JSON Schema pour les données que nous souhaitons recevoir en YAML.

Ensuite, nous utilisons directement la requête et extrayons le corps en tant que `bytes`. Cela signifie que FastAPI n’essaiera même pas d’analyser le payload de la requête en JSON.

Nous pouvons **mettre à jour un héros**. Pour cela, nous utilisons une opération HTTP `PATCH`.

Et dans le code, nous obtenons un `dict` avec toutes les données envoyées par le client, **uniquement les données envoyées par le client**, en excluant toute valeur qui serait là simplement parce que c'est la valeur par défaut. Pour ce faire, nous utilisons `exclude_unset=True`. C'est l'astuce principale. 🪄

Nous n'utilisons pas `scopes` dans cet exemple, mais la fonctionnalité est disponible si vous en avez besoin.

///

Récupérez maintenant les données utilisateur depuis la (fausse) base de données, en utilisant le `username` du champ de formulaire.

///

/// info | Info

Dans cet exemple, nous utilisons des en-têtes personnalisés fictifs `X-Key` et `X-Token`.

Mais dans des cas réels, lors de l'implémentation de la sécurité, vous tirerez davantage d'avantages en utilisant les [utilitaires de sécurité (chapitre suivant)](../security/index.md) intégrés.

///

<img src="/img/tutorial/security/image11.png">

## Jeton JWT avec scopes { #jwt-token-with-scopes }

Modifiez maintenant le *chemin d’accès* du jeton pour renvoyer les scopes demandés.

Nous utilisons toujours le même `OAuth2PasswordRequestForm`. Il inclut une propriété `scopes` avec une `list` de `str`, contenant chaque scope reçu dans la requête.

Et nous renvoyons les scopes comme partie du jeton JWT.

/// danger | Danger

Et vous voulez que le **frontend** puisse s'authentifier auprès du **backend**, en utilisant un **username** et un **password**.

Nous pouvons utiliser **OAuth2** pour construire cela avec **FastAPI**.

Mais épargnons-vous le temps de lire toute la spécification complète juste pour trouver les petites informations dont vous avez besoin.

Utilisons les outils fournis par **FastAPI** pour gérer la sécurité.

{* ../../docs_src/async_tests/app_a_py310/test_main.py hl[9:12] *}

C'est l'équivalent de :

```Python
response = client.get('/')
```

... que nous utilisions pour faire nos requêtes avec le `TestClient`.

/// tip | Astuce

Notez que nous utilisons async/await avec le nouveau `AsyncClient` — la requête est asynchrone.

///

/// tip | Astuce

Ici, nous utilisons [`time.perf_counter()`](https://docs.python.org/3/library/time.html#time.perf_counter) au lieu de `time.time()` car cela peut être plus précis pour ces cas d’usage. 🤓

///

## Ordre d’exécution de plusieurs middlewares { #multiple-middleware-execution-order }

```console
$ pip install email-validator
```

ou avec :

```console
$ pip install "pydantic[email]"
```

///

Et nous utilisons ce modèle pour déclarer notre entrée et le même modèle pour déclarer notre sortie :

{* ../../docs_src/response_model/tutorial002_py310.py hl[16] *}

///

/// tip | Astuce

Notez que dans ce cas, nous utilisons une fonction Python standard `open()` qui interagit avec un fichier.

Cela implique des E/S (input/output), qui nécessitent « d'attendre » que des choses soient écrites sur le disque.