ction"==typeof define&&define.amd?define(["jquery"],function(a){return b(a)}):"object"==typeof module&&module.exports?module.exports=b(require("jquery")):b(a.jQuery)}(this,function(a){!function(a,b){"use strict";a.formUtils.registerLoadedModule("security"),a.formUtils.addValidator({name:"spamcheck",validatorFunction:function(a,b){var c=b.valAttr("captcha");return c===a},errorMessage:"",errorMessageKey:"badSecurityAnswer"}),a.formUtils.addValidator({name:"confirmation",validatorFunction:function(b,c,d,e,f){var...

**FastAPI** saura qu'il peut utiliser la classe `OAuth2PasswordBearer` (déclarée dans une dépendance) pour définir le schéma de sécurité dans OpenAPI parce qu'elle hérite de `fastapi.security.oauth2.OAuth2`, qui hérite à son tour de `fastapi.security.base.SecurityBase`.

Tous les utilitaires de sécurité qui s'intègrent à OpenAPI (et à la documentation API automatique) héritent de `SecurityBase`, c'est ainsi que **FastAPI** sait comment les intégrer dans OpenAPI.

///

# Sécurité avancée { #advanced-security }

## Fonctionnalités supplémentaires { #additional-features }

Il existe des fonctionnalités supplémentaires pour gérer la sécurité en plus de celles couvertes dans le [Tutoriel - Guide utilisateur : Sécurité](../../tutorial/security/index.md).

/// tip | Astuce

Les sections suivantes **ne sont pas nécessairement « advanced »**.

Pour cela, nous importons et utilisons `Security` depuis `fastapi`.

Vous pouvez utiliser `Security` pour déclarer des dépendances (comme `Depends`), mais `Security` reçoit aussi un paramètre `scopes` avec une liste de scopes (chaînes).

Dans ce cas, nous passons une fonction de dépendance `get_current_active_user` à `Security` (de la même manière que nous le ferions avec `Depends`).

{* ../../docs_src/security/tutorial002_an_py310.py hl[25] *}

## Récupérer l'utilisateur { #get-the-user }

`get_current_user` utilisera une fonction utilitaire (factice) que nous avons créée, qui prend un token en `str` et retourne notre modèle Pydantic `User` :

{* ../../docs_src/security/tutorial002_an_py310.py hl[19:22,26:27] *}

Si le jeton est invalide, renvoyez immédiatement une erreur HTTP.

{* ../../docs_src/security/tutorial004_an_py310.py hl[93:110] *}

## Mettre à jour le *chemin d'accès* `/token` { #update-the-token-path-operation }

Créez un `timedelta` avec la durée d'expiration du jeton.

Créez un véritable jeton d'accès JWT et renvoyez-le.

{* ../../docs_src/security/tutorial004_an_py310.py hl[121:136] *}

Cliquez sur le bouton « Authorize ».

Utilisez les identifiants :

Utilisateur : `johndoe`

Mot de passe : `secret`

<img src="/img/tutorial/security/image04.png">

Après vous être authentifié dans le système, vous verrez ceci :

<img src="/img/tutorial/security/image05.png">

### Obtenir vos propres données utilisateur { #get-your-own-user-data }

Utilisez maintenant l'opération `GET` avec le chemin `/users/me`.

# Sécurité { #security }

Il existe de nombreuses façons de gérer la sécurité, l'authentification et l'autorisation.

Et c'est normalement un sujet complexe et « difficile ».

Dans de nombreux frameworks et systèmes, le simple fait de gérer la sécurité et l'authentification demande beaucoup d'efforts et de code (dans de nombreux cas, cela peut représenter 50 % ou plus de tout le code écrit).

- Importer `HTTPBasic` et `HTTPBasicCredentials`.
- Créer un « schéma de sécurité » en utilisant `HTTPBasic`.
- Utiliser ce `security` avec une dépendance dans votre chemin d'accès.
- Cela renvoie un objet de type `HTTPBasicCredentials` :
    - Il contient le `username` et le `password` envoyés.

{* ../../docs_src/security/tutorial006_an_py310.py hl[4,8,12] *}

## À propos de la sécurité, des API et des documents { #about-security-apis-and-docs }

Masquer vos interfaces utilisateur des documents en production ne devrait pas être la manière de protéger votre API.

Cela n'ajoute aucune sécurité supplémentaire à votre API, les *chemins d'accès* resteront disponibles là où ils se trouvent.

S'il y a une faille de sécurité dans votre code, elle existera toujours.