# Général - Guides pratiques - Recettes { #general-how-to-recipes }

Voici plusieurs renvois vers d'autres endroits dans les documents, pour des questions générales ou fréquentes.

## Filtrer des données - Sécurité { #filter-data-security }

Pour vous assurer que vous ne renvoyez pas plus de données que nécessaire, lisez les documents [Tutoriel - Modèle de réponse - Type de retour](../tutorial/response-model.md).

    * FastAPI apporte des fonctionnalités supplémentaires à Starlette. Des fonctionnalités dont vous avez presque toujours besoin lors de la création d'une API, comme la validation des données et la sérialisation. En l'utilisant, vous obtenez une documentation automatique « gratuitement » (la documentation automatique n'ajoute même pas de surcharge à l’exécution, elle est générée au démarrage).

Wenn Sie jedoch benutzerdefinierte Header haben, die ein Client in einem Browser sehen soll, müssen Sie sie zu Ihrer CORS-Konfiguration ([CORS (Cross-Origin Resource Sharing)](cors.md)) hinzufügen, indem Sie den Parameter `expose_headers` verwenden, der in [Starlettes CORS-Dokumentation](https://www.starlette.dev/middleware/#corsmiddleware) dokumentiert ist.

///

/// note | Technische Details

/// danger | Danger

Ne stockez jamais les mots de passe des utilisateurs en clair. Stockez toujours un « hachage sécurisé » que vous pourrez ensuite vérifier.

Si vous ne savez pas ce que c'est, vous apprendrez ce qu'est un « hachage de mot de passe » dans les [chapitres sur la sécurité](security/simple-oauth2.md#password-hashing).

///

## Utiliser plusieurs modèles { #multiple-models }

**simple**, cela ne sera probablement **pas un problème**, et vous n'aurez peut-être pas besoin de spécifier des limites de mémoire strictes. Mais si vous **utilisez beaucoup de mémoire** (par exemple avec des modèles de **machine learning**), vous devez vérifier combien de mémoire vous consommez et ajuster le **nombre de conteneurs** qui s'exécutent sur **chaque machine** (et peut-être ajouter plus de machines à votre cluster).

Si vous exécutez **plusieurs processus par conteneur**, vous devez...

Si vous avez ce cas d’utilisation spécifique avec SQLModel (ou SQLAlchemy), vous pouvez fermer explicitement la session dès que vous n’en avez plus besoin :

{* ../../docs_src/dependencies/tutorial014_an_py310.py ln[24:28] hl[28] *}

De cette manière, la session libérera la connexion à la base de données, afin que d’autres requêtes puissent l’utiliser.

Des attaquants pourraient simplement exécuter un script pour envoyer des requêtes à votre API, sans interaction avec le navigateur ; vous sécurisez donc probablement déjà tout endpoint privilégié.

Dans ce cas, cette attaque / ce risque ne vous concerne pas.

<img src="/img/tutorial/security/image11.png">

Si vous ne sélectionnez aucun scope, vous serez « authenticated », mais lorsque vous essayerez d’accéder à `/users/me/` ou `/users/me/items/`, vous obtiendrez une erreur indiquant que vous n’avez pas suffisamment de permissions. Vous pourrez toujours accéder à `/status/`.

Et si vous sélectionnez le scope `me` mais pas le scope `items`, vous pourrez accéder à `/users/me/` mais pas à `/users/me/items/`.

Si vous voulez sécuriser votre API, il y a plusieurs meilleures approches possibles, par exemple :

* Vous devez vous assurer d'avoir des modèles Pydantic bien définis pour le corps de la requête et la réponse.

### Redirections avec HTTPS { #redirects-with-https }

Par exemple, disons que vous définissez un *chemin d'accès* `/items/` :

{* ../../docs_src/behind_a_proxy/tutorial001_01_py310.py hl[6] *}

Si le client essaie d'aller à `/items`, par défaut, il sera redirigé vers `/items/`.

Mais avant de définir l'option de CLI `--forwarded-allow-ips`, il pourrait rediriger vers `http://localhost:8000/items/`.