Mas isso só permitirá certos tipos de comunicação, excluindo tudo que envolva credenciais: cookies, cabeçalhos de autorização como aqueles usados ​​com Bearer Tokens, etc.

Então, para que tudo funcione corretamente, é melhor especificar explicitamente as origens permitidas.

## Usar `CORSMiddleware` { #use-corsmiddleware }

Bu yaklaşım oldukça yaygındır ve bir adı vardır: Bu environment variable'lar genellikle `.env` adlı bir dosyaya konur ve bu dosyaya "dotenv" denir.

/// tip | İpucu

Nokta (`.`) ile başlayan dosyalar, Linux ve macOS gibi Unix-benzeri sistemlerde gizli dosyadır.

Ancak dotenv dosyasının mutlaka bu dosya adına sahip olması gerekmez.

///

   *
   * This includes the HTTP method, headers, request body (if present), and URL.
   *
   * Example:
   *
   * ```
   * curl 'https://example.com/api' \
   *   -X PUT \
   *   -H 'Authorization: Bearer token' \
   *   --data '{\"key\":\"value\"}'
   * ```
   *
   * **Note:** This will consume the request body. This may have side effects if the [RequestBody]
   * is streaming or can be consumed only once.
   */

# パスワード（およびハッシュ化）によるOAuth2、JWTトークンによるBearer { #oauth2-with-password-and-hashing-bearer-with-jwt-tokens }

これでセキュリティの流れが全てわかったので、<abbr title="JSON Web Tokens - JSON Web Token">JWT</abbr>トークンと安全なパスワードのハッシュ化を使用して、実際にアプリケーションを安全にしてみましょう。

このコードは、アプリケーションで実際に使用したり、パスワードハッシュをデータベースに保存するといった用途に利用できます。

本章では、前章の続きから始めて、コードをアップデートしていきます。

## JWT について { #about-jwt }

JWTとは「JSON Web Tokens」の略称です。

JSONオブジェクトをスペースのない長く密集した文字列で表現したトークンの仕様です。例えば次のようになります：

0.082 responseBodyStart
0.082 responseBodyEnd
0.083 connectionReleased
0.083 callEnd
```

Notice how no connect events are fired for the second call. It reused the connection from the first request for dramatically better performance.

### EventListener.Factory

   *
   * @throws IllegalArgumentException if the resource is not found
   */
  @CanIgnoreReturnValue // being used to check if a resource exists
  // TODO(cgdecker): maybe add a better way to check if a resource exists
  // e.g. Optional<URL> tryGetResource or boolean resourceExists
  public static URL getResource(String resourceName) {
    ClassLoader loader =
        MoreObjects.firstNonNull(

{* ../../docs_src/path_params_numeric_validations/tutorial003_py310.py hl[7] *}

### Лучше с `Annotated` { #better-with-annotated }

Имейте в виду, что если вы используете `Annotated`, то, поскольку вы не используете значений по умолчанию для параметров функции, у вас не возникнет подобной проблемы и вам, вероятно, не придётся использовать `*`.

为此，`:80` 的后端必须有一个「允许的源」列表。

在这种情况下，它必须包含 `http://localhost:8080`，这样 `:8080` 的前端才能正常工作。

## 通配符 { #wildcards }

也可以使用 `"*"`（一个「通配符」）声明这个列表，表示全部都是允许的。

但这仅允许某些类型的通信，不包括所有涉及凭据的内容：比如 Cookies，以及那些使用 Bearer 令牌的 Authorization 请求头等。

因此，为了一切都能正常工作，最好显式地指定允许的源。

## 使用 `CORSMiddleware` { #use-corsmiddleware }

你可以在 **FastAPI** 应用中使用 `CORSMiddleware` 来配置它。

* 导入 `CORSMiddleware`。
* 创建一个允许的源列表（由字符串组成）。

errors.failed_to_read_request_file=Fehler beim Lesen einer Anforderungsdatei: {0}
errors.invalid_header_for_request_file=Ungültige Header-Zeile: {0}
errors.could_not_delete_logged_in_user=Sie können keinen angemeldeten Benutzer löschen.
errors.unauthorized_request=Unautorisierte Anfrage.
errors.failed_to_print_thread_dump=Fehler beim Drucken eines Thread-Dumps.
errors.file_is_not_supported={0} wird nicht unterstützt.

   * characters).
   *
   * @param c the character to escape
   * @return the replacement characters, or {@code null} if no escaping was required
   */
  // TODO(dbeaumont,cpovirk): Rename this something better once refactoring done
  protected abstract char @Nullable [] escapeUnsafe(char c);