- 其中包含傳來的 `username` 與 `password`。

{* ../../docs_src/security/tutorial006_an_py310.py hl[4,8,12] *}

當你第一次嘗試開啟該 URL（或在文件中點擊 "Execute" 按鈕）時，瀏覽器會要求輸入你的使用者名稱與密碼：

<img src="/img/tutorial/security/image12.png">

## 檢查使用者名稱 { #check-the-username }

以下是一個更完整的範例。

使用一個依賴來檢查使用者名稱與密碼是否正確。

為此，使用 Python 標準模組 [`secrets`](https://docs.python.org/3/library/secrets.html) 來比對使用者名稱與密碼。

            zos.write("console.log('test');".getBytes());
            zos.closeEntry();

            // Images
            ZipEntry imgEntry = new ZipEntry("images/logo.png");
            zos.putNextEntry(imgEntry);
            zos.write("fake png data".getBytes());
            zos.closeEntry();
        }
    }

    private void createMockThemeZipWithDangerousPaths(Path zipPath) throws IOException {

///

The interactive API docs will update accordingly, to allow multiple values:

<img src="/img/tutorial/query-params-str-validations/image02.png">

### Query parameter list / multiple values with defaults { #query-parameter-list-multiple-values-with-defaults }

You can also define a default `list` of values if none are provided:

由於現在宣告了這些 scopes，當你登入／授權時，它們會出現在 API 文件中。

你可以選擇要授予哪些 scopes 存取權：`me` 與 `items`。

這與你使用 Facebook、Google、GitHub 等登入時所授與權限的機制相同：

<img src="/img/tutorial/security/image11.png">

## 內含 scopes 的 JWT token { #jwt-token-with-scopes }

現在，修改 token 的路徑操作以回傳所請求的 scopes。

我們仍然使用相同的 `OAuth2PasswordRequestForm`。它包含屬性 `scopes`，其為 `list` 的 `str`，列出請求中收到的每個 scope。

並且我們將這些 scopes 作為 JWT token 的一部分回傳。

But declaring the type is encouraged as that way your editor will know what will be passed as the parameter `commons`, and then it can help you with code completion, type checks, etc:

<img src="/img/tutorial/dependencies/image02.png">

## Shortcut { #shortcut }

But you see that we are having some code repetition here, writing `CommonQueryParams` twice:

//// tab | Python 3.10+

```Python

You can create a custom sub-class of `StreamingResponse` that sets the `Content-Type` header to the type of data you're streaming.

For example, you can create a `PNGStreamingResponse` that sets the `Content-Type` header to `image/png` using the `media_type` attribute:

{* ../../docs_src/stream_data/tutorial002_py310.py ln[6,19:20] hl[20] *}

Then you can use this new class in `response_class=PNGStreamingResponse` in your *path operation function*:

在上述範例中，雖然串流了資料位元組，但回應沒有 `Content-Type` 標頭，因此用戶端不知道接收到的是哪種資料型別。

你可以建立 `StreamingResponse` 的自訂子類別，將 `Content-Type` 標頭設定為你要串流的資料型別。

例如，你可以建立 `PNGStreamingResponse`，透過 `media_type` 屬性把 `Content-Type` 設為 `image/png`：

{* ../../docs_src/stream_data/tutorial002_py310.py ln[6,19:20] hl[20] *}

接著在路徑操作函式中用 `response_class=PNGStreamingResponse` 使用這個新類別：

{* ../../docs_src/stream_data/tutorial002_py310.py ln[23:27] hl[23] *}

[http://127.0.0.1:8000/docs](http://127.0.0.1:8000/docs) を確認してください:

<img src="/img/tutorial/behind-a-proxy/image01.png">

しかし、プロキシ（ポート `9999`）を使った「公式」URL `/api/v1/docs` でドキュメント UI にアクセスすると、正しく動作します！🎉

[http://127.0.0.1:9999/api/v1/docs](http://127.0.0.1:9999/api/v1/docs) を確認してください:

<img src="/img/tutorial/behind-a-proxy/image02.png">

ねらいどおりです。✔️

これは、FastAPI が `root_path` を使って、OpenAPI の既定の `server` を `root_path` の URL で生成するためです。

    buffer.writeUtf8CodePoint(0x1a)
    buffer.writeUtf8CodePoint(0x0a)
    server.enqueue(
      MockResponse
        .Builder()
        .body(buffer)
        .setHeader("Content-Type", "image/png; charset=utf-8")
        .build(),
    )
    val response = client.newCall(request().build()).execute()
    response.body.close()
    applicationLogs
      .assertLogEqual("--> GET $url")

因为我们现在声明了这些作用域，所以当你登录/授权时，它们会显示在 API 文档里。

你可以选择要授予访问权限的作用域：`me` 和 `items`。

这与使用 Facebook、Google、GitHub 等登录时授予权限的机制相同：

<img src="/img/tutorial/security/image11.png">

## 带作用域的 JWT 令牌 { #jwt-token-with-scopes }

现在，修改令牌的*路径操作*以返回请求的作用域。

我们仍然使用 `OAuth2PasswordRequestForm`。它包含 `scopes` 属性，其值是 `list[str]`，包含请求中接收到的每个作用域。

我们把这些作用域作为 JWT 令牌的一部分返回。

/// danger | 危险