# Simple OAuth2 con Password y Bearer { #simple-oauth2-with-password-and-bearer }

Ahora vamos a construir a partir del capítulo anterior y agregar las partes faltantes para tener un flujo de seguridad completo.

## Obtener el `username` y `password` { #get-the-username-and-password }

Vamos a usar las utilidades de seguridad de **FastAPI** para obtener el `username` y `password`.

Un **request** body es un dato enviado por el cliente a tu API. Un **response** body es el dato que tu API envía al cliente.

Tu API casi siempre tiene que enviar un **response** body. Pero los clientes no necesariamente necesitan enviar **request bodies** todo el tiempo, a veces solo solicitan un path, quizás con algunos parámetros de query, pero no envían un body.

<img src="/img/deployment/https/https05.drawio.svg">

### Response HTTP { #http-response }

La aplicación procesaría el request y enviaría un **response HTTP simple (sin encriptar)** al TLS Termination Proxy.

## Ejecución al Iniciar { #running-on-startup }

* `allow_credentials` - Indica que las cookies deberían estar...

/// danger | Peligro

Nunca almacenes contraseñas de usuarios en texto plano. Siempre almacena un "hash seguro" que puedas verificar luego.

Si no lo sabes, aprenderás qué es un "hash de contraseña" en los [capítulos de seguridad](security/simple-oauth2.md#password-hashing){.internal-link target=_blank}.

///

## Múltiples modelos { #multiple-models }

Así, la documentación interactiva tendrá toda la información de estas dependencias también:

<img src="/img/tutorial/dependencies/image01.png">

## Uso simple { #simple-usage }

Si lo ves, las *path operation functions* se declaran para ser usadas siempre que un *path* y una *operación* coincidan, y luego **FastAPI** se encarga de llamar la función con los parámetros correctos, extrayendo los datos del request.

///

## Hashing de contraseñas { #password-hashing }

"Hacer hashing" significa convertir algún contenido (una contraseña en este caso) en una secuencia de bytes (solo un string) que parece un galimatías.

Siempre que pases exactamente el mismo contenido (exactamente la misma contraseña) obtienes exactamente el mismo galimatías.

Pero no puedes convertir del galimatías de nuevo a la contraseña.

Tener `str | None` permitirá que tu editor te dé un mejor soporte y detecte errores.

///

## Validaciones adicionales { #additional-validation }

Vamos a hacer que, aunque `q` sea opcional, siempre que se proporcione, **su longitud no exceda los 50 caracteres**.

### Importar `Query` y `Annotated` { #import-query-and-annotated }

Para lograr eso, primero importa:

* `Query` desde `fastapi`

Aquí hay algunos ejemplos de cuándo eso podría tener sentido:

#### Una Aplicación Simple { #a-simple-app }

Podrías querer un gestor de procesos en el contenedor si tu aplicación es **lo suficientemente simple** que pueda ejecutarse en un **servidor único**, no un cluster.

#### Docker Compose { #docker-compose }