Esto sería similar a:

```Python
if not (credentials.username == "stanleyjobson") or not (credentials.password == "swordfish"):
    # Devuelve algún error
    ...
```

Pero al usar `secrets.compare_digest()` será seguro contra un tipo de ataques llamados "timing attacks".

### Timing attacks { #timing-attacks }

¿Pero qué es un "timing attack"?

    - 🤖 Um cliente frontend automaticamente gerado.
    - 🧪 [Playwright](https://playwright.dev) para testes Ponta-a-Ponta.
    - 🦇 Suporte para modo escuro.
- 🐋 [Docker Compose](https://www.docker.com) para desenvolvimento e produção.
- 🔒 Hash seguro de senhas por padrão.
- 🔑 Autenticação JWT (JSON Web Token).
- 📫 Recuperação de senhas baseada em email.
- ✅ Testes com [Pytest](https://pytest.org).

    - 🧪 [Playwright](https://playwright.dev) para escribir pruebas End-to-End.
    - 🦇 Soporte para modo oscuro.
- 🐋 [Docker Compose](https://www.docker.com) para desarrollo y producción.
- 🔒 Hashing seguro de contraseñas por defecto.
- 🔑 Autenticación con tokens JWT.
- 📫 Recuperación de contraseñas basada en email.
- ✅ Pruebas con [Pytest](https://pytest.org).
- 📞 [Traefik](https://traefik.io) como proxy inverso / load balancer.

El único detalle que falta es que en realidad no es "seguro" aún.

labels.wizard_button_finish=Omitir
labels.search_list_configuration=Búsqueda
labels.search_list_button_delete=Eliminar
labels.search_list_delete_confirmation=¿Está seguro de que desea eliminarlo?
labels.search_list_button_delete_all=Eliminar todo con esta consulta
labels.search_list_delete_all_confirmation=¿Está seguro de que desea eliminar todo con esta consulta?
labels.search_list_button_cancel=Cancelar
labels.failure_url_configuration=URL de fallo

///

## `HTTPSRedirectMiddleware` { #httpsredirectmiddleware }

Impone que todas las requests entrantes deben ser `https` o `wss`.

Cualquier request entrante a `http` o `ws` será redirigida al esquema seguro.

{* ../../docs_src/advanced_middleware/tutorial001_py310.py hl[2,6] *}

## `TrustedHostMiddleware` { #trustedhostmiddleware }

///

## `HTTPSRedirectMiddleware` { #httpsredirectmiddleware }

Garante que todas as requisições devem ser `https` ou `wss`.

Qualquer requisição para `http` ou `ws` será redirecionada para o esquema seguro.

{* ../../docs_src/advanced_middleware/tutorial001_py310.py hl[2,6] *}

## `TrustedHostMiddleware` { #trustedhostmiddleware }

* El **modelo de base de datos** probablemente necesitaría tener una contraseña hasheada.

/// danger | Peligro

Nunca almacenes contraseñas de usuarios en texto plano. Siempre almacena un "hash seguro" que puedas verificar luego.

Si no lo sabes, aprenderás qué es un "hash de contraseña" en los [capítulos de seguridad](security/simple-oauth2.md#password-hashing).

///

## Múltiples modelos { #multiple-models }

    end
```

/// tip | Consejo

Es muy común en los paquetes de Python intentar lo mejor para **evitar romper cambios** en **nuevas versiones**, pero es mejor estar seguro e instalar nuevas versiones intencionalmente y cuando puedas ejecutar las pruebas para verificar que todo está funcionando correctamente.

///

Ni siquiera tienes que verificar si el token existe para devolver un error. Puedes estar seguro de que si tu función se ejecuta, tendrá un `str` en ese token.

Puedes probarlo ya en los docs interactivos:

<img src="/img/tutorial/security/image03.png">