* `apiKey`: 다음에서 전달될 수 있는 애플리케이션 전용 키:
    * 쿼리 파라미터
    * 헤더
    * 쿠키
* `http`: 표준 HTTP 인증 시스템, 예:
    * `bearer`: `Authorization` 헤더에 `Bearer ` + 토큰 값을 넣는 방식. OAuth2에서 유래했습니다.
    * HTTP Basic 인증
    * HTTP Digest 등
* `oauth2`: 보안을 처리하는 모든 OAuth2 방식(이를 "flow"라고 부릅니다).
    * 이 flow들 중 여러 개는 OAuth 2.0 인증 제공자(예: Google, Facebook, X (Twitter), GitHub 등)를 구축하는 데 적합합니다:
        * `implicit`
        * `clientCredentials`

///

## 分離測試 { #separating-tests }

在真實專案中，你大概會把測試放在不同的檔案中。

你的 **FastAPI** 應用也可能由多個檔案/模組組成，等等。

### **FastAPI** 應用檔案 { #fastapi-app-file }

假設你的檔案結構如[更大型的應用](bigger-applications.md)所述：

```
.
├── app
│   ├── __init__.py
│   └── main.py
```

在 `main.py` 檔案中有你的 **FastAPI** 應用：


{* ../../docs_src/app_testing/app_a_py310/main.py *}

#### 「專業」的攻擊 { #a-professional-attack }

當然，攻擊者不會手動嘗試這一切，他們會寫程式來做，可能每秒進行上千或上百萬次測試，一次只多猜中一個正確字母。

但這樣做，幾分鐘或幾小時內，他們就能在我們應用程式「協助」下，僅靠回應時間就猜出正確的使用者名稱與密碼。

#### 用 `secrets.compare_digest()` 修正 { #fix-it-with-secrets-compare-digest }

但在我們的程式碼中實際使用的是 `secrets.compare_digest()`。

簡而言之，將 `stanleyjobsox` 與 `stanleyjobson` 比較所花的時間，會與將 `johndoe` 與 `stanleyjobson` 比較所花的時間相同；密碼也一樣。

如此一來，在應用程式程式碼中使用 `secrets.compare_digest()`，就能安全地防禦這整類的安全攻擊。

///

## 分离测试 { #separating-tests }

在实际应用中，你可能会把你的测试放在另一个文件里。

您的**FastAPI**应用程序也可能由一些文件/模块组成等等。

### **FastAPI** app 文件 { #fastapi-app-file }

假设你有一个像[更大的应用](bigger-applications.md)中所描述的文件结构:

```
.
├── app
│   ├── __init__.py
│   └── main.py
```

在 `main.py` 文件中你有一个 **FastAPI** app:


{* ../../docs_src/app_testing/app_a_py310/main.py *}

#### Das Problem beheben mittels `secrets.compare_digest()` { #fix-it-with-secrets-compare-digest }

Aber in unserem Code verwenden wir tatsächlich `secrets.compare_digest()`.

#### Corrija com o `secrets.compare_digest()` { #fix-it-with-secrets-compare-digest }

Mas em nosso código já estamos utilizando o `secrets.compare_digest()`.

Resumindo, levará o mesmo tempo para comparar `stanleyjobsox` com `stanleyjobson` do que comparar `johndoe` com `stanleyjobson`. E o mesmo para a senha.

    }

    @Test
    public void test_variousTokenTypes() {
        // Test with various common token types
        String[] tokenTypes = { "Bearer", "JWT", "OAuth", "OAuth2", "APIKey", "Session", "Basic", "Digest", "SAML", "OpenID" };

        for (String tokenType : tokenTypes) {
            String message = tokenType + " token is invalid";

#### Виправте за допомогою `secrets.compare_digest()` { #fix-it-with-secrets-compare-digest }

Але в нашому коді ми насправді використовуємо `secrets.compare_digest()`.

* `apiKey`：應用程式特定的金鑰，來源可以是：
    * 查詢參數。
    * 標頭（header）。
    * Cookie。
* `http`：標準的 HTTP 驗證系統，包括：
    * `bearer`：使用 `Authorization` 標頭，值為 `Bearer ` 加上一個 token。這是從 OAuth2 延伸而來。
    * HTTP Basic 驗證。
    * HTTP Digest 等。
* `oauth2`：所有 OAuth2 的安全性處理方式（稱為「flows」）。
    * 其中數個 flow 適合用來建立 OAuth 2.0 身分驗證提供者（如 Google、Facebook、X（Twitter）、GitHub 等）：
        * `implicit`
        * `clientCredentials`
        * `authorizationCode`

  }

  private static boolean shouldTrim(int actualUnique, int expectedUnique) {
    return actualUnique < (expectedUnique >> 1) + (expectedUnique >> 2);
  }

  // We use power-of-2 tables, and this is the highest int that's a power of 2
  static final int MAX_TABLE_SIZE = Ints.MAX_POWER_OF_TWO;

  // Represents how tightly we can pack things, as a maximum.
  private static final double DESIRED_LOAD_FACTOR = 0.7;