```
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
```

Il n'est pas chiffré ; ainsi, n'importe qui peut récupérer les informations à partir de son contenu.

Mais il est signé. Ainsi, quand vous recevez un jeton que vous avez émis, vous pouvez vérifier que vous l'avez bien émis.

deve essere minore di ",lengthTooShortStart:"La lunghezza della risposta deve essere maggiore di ",notConfirmed:"Il valore non è stato confermato.",badDomain:"Il dominio inserito non è corretto.",badUrl:"L' URL inserito non è valido",badCustomVal:"I valori inseriti non sono validi",andSpaces:" e spazi ",badInt:"Il numero inserito non è valido",badSecurityNumber:"Il numero di sicurezza inserito non è valido",badUKVatAnswer:"La Partita IVA (VAT) inserita non è valida...

Il a les mêmes champs que `HeroBase`, il n'inclura donc pas `secret_name`.

Enfin, l'identité de nos héros est protégée ! 🥷

Il redéclare aussi `id: int`. Ce faisant, nous faisons un **contrat** avec les clients de l'API, afin qu'ils puissent toujours s'attendre à ce que `id` soit présent et soit un `int` (il ne sera jamais `None`).

/// tip | Astuce

Pour créer le *chemin d'accès* du callback, utilisez le même `APIRouter` que vous avez créé ci-dessus.

Il devrait ressembler exactement à un *chemin d'accès* FastAPI normal :

* Il devrait probablement déclarer le corps qu’il doit recevoir, par exemple `body: InvoiceEvent`.
* Et il pourrait aussi déclarer la réponse qu’il doit renvoyer, par exemple `response_model=InvoiceEventReceived`.

Si un client tente d'envoyer des données supplémentaires dans les paramètres de requête, il recevra une réponse d'erreur.

Par exemple, si le client tente d'envoyer un paramètre de requête `tool` avec la valeur `plumbus`, comme :

```http
https://example.com/items/?limit=10&tool=plumbus
```

Il recevra une réponse d'erreur lui indiquant que le paramètre de requête `tool` n'est pas autorisé :

```json
{

{* ../../docs_src/request_form_models/tutorial002_an_py310.py hl[12] *}

Si un client tente d'envoyer des données supplémentaires, il recevra une **réponse d'erreur**.

Par exemple, si le client essaie d'envoyer les champs de formulaire :

* `username`: `Rick`
* `password`: `Portal Gun`
* `extra`: `Mr. Poopybutthole`

Il recevra une réponse d'erreur lui indiquant que le champ `extra` n'est pas autorisé :

```json
{
    "detail": [

Le plus courant est le flux implicite.

Le plus sûr est le flux « code », mais il est plus complexe à implémenter car il nécessite plus d’étapes. Comme il est plus complexe, de nombreux fournisseurs finissent par recommander le flux implicite.

/// note | Remarque

Il est courant que chaque fournisseur d’authentification nomme ses flux différemment, pour en faire une partie de sa marque.

# Histoire, conception et avenir { #history-design-and-future }

Il y a quelque temps, [un utilisateur de **FastAPI** a demandé](https://github.com/fastapi/fastapi/issues/3#issuecomment-454956920) :

> Quelle est l'histoire de ce projet ? Il semble être sorti de nulle part et est devenu génial en quelques semaines [...].

Voici un petit bout de cette histoire.

## Alternatives { #alternatives }

Vous pouvez ensuite utiliser `Field` avec des attributs de modèle :

{* ../../docs_src/body_fields/tutorial001_an_py310.py hl[11:14] *}

`Field` fonctionne de la même manière que `Query`, `Path` et `Body`, il dispose des mêmes paramètres, etc.

/// note | Détails techniques

///

## Renvoyer le jeton { #return-the-token }

La réponse de l'endpoint `token` doit être un objet JSON.

Il doit contenir un `token_type`. Dans notre cas, comme nous utilisons des jetons « Bearer », le type de jeton doit être « bearer ».

Et il doit contenir un `access_token`, avec une chaîne contenant notre jeton d'accès.