## Futur { #future }

À ce stade, il est déjà clair que **FastAPI** et ses idées sont utiles pour de nombreuses personnes.

Elle a été préférée aux solutions précédentes parce qu'elle convient mieux à de nombreux cas d'utilisation.

/// danger | Danger

Ne stockez jamais le mot de passe en clair d'un utilisateur et ne l'envoyez pas dans une réponse de cette manière, à moins de connaître tous les écueils et de savoir exactement ce que vous faites.

///

## Ajouter un modèle de sortie { #add-an-output-model }

Nous pouvons à la place créer un modèle d'entrée avec le mot de passe en clair et un modèle de sortie sans celui-ci :

* Configurez toutes les autorisations et tous les rôles nécessaires à l'aide de dépendances.
* Ne stockez jamais de mots de passe en clair, seulement des hachages de mots de passe.
* Implémentez et utilisez des outils cryptographiques reconnus, comme pwdlib et des jetons JWT, ... etc.

* Le modèle de sortie ne doit pas avoir de mot de passe.
* Le modèle de base de données devra probablement avoir un mot de passe haché.

/// danger | Danger

Ne stockez jamais les mots de passe des utilisateurs en clair. Stockez toujours un « hachage sécurisé » que vous pourrez ensuite vérifier.

### Pourquoi utiliser le hachage de mot passe { #why-use-password-hashing }

Si votre base de données est volée, le voleur n'aura pas les mots de passe en clair de vos utilisateurs, seulement les hachages.

Ainsi, le voleur ne pourra pas essayer d'utiliser ce mot de passe dans un autre système (comme beaucoup d'utilisateurs utilisent le même mot de passe partout, ce serait dangereux).

Mettons d'abord ces données dans le modèle Pydantic `UserInDB`.

Vous ne devez jamais enregistrer des mots de passe en clair ; nous allons donc utiliser le système (factice) de hachage de mot de passe.

Si les mots de passe ne correspondent pas, nous renvoyons la même erreur.

#### Hachage de mot de passe { #password-hashing }

<img src="/img/deployment/https/https05.drawio.svg">

### Réponse HTTP { #http-response }

L'application traiterait la requête et enverrait une **réponse HTTP en clair (non chiffrée)** au Proxy de terminaison TLS.

Dans les enquêtes auprès des développeurs Python, il est clair [que l’une des fonctionnalités les plus utilisées est « autocomplétion »](https://www.jetbrains.com/research/python-developers-survey-2017/#tools-and-features).

{* ../../docs_src/dependencies/tutorial011_an_py310.py hl[22] *}

/// tip | Astuce

Tout cela peut sembler artificiel. Et il n’est peut‑être pas encore très clair en quoi c’est utile.

Ces exemples sont volontairement simples, mais ils montrent comment tout cela fonctionne.

Dans les chapitres sur la sécurité, il existe des fonctions utilitaires implémentées de la même manière.

Par exemple, ceci n’est pas autorisé :

```Python
q: Annotated[str, Query(default="rick")] = "morty"
```

... parce qu’il n’est pas clair si la valeur par défaut doit être « rick » ou « morty ».

Donc, vous utiliseriez (de préférence) :

```Python
q: Annotated[str, Query()] = "rick"
```