Y luego puedes establecer headers en ese objeto de response *temporal*.

{* ../../docs_src/response_headers/tutorial002_py310.py hl[1, 7:8] *}

Y luego puedes devolver cualquier objeto que necesites, como harías normalmente (un `dict`, un modelo de base de datos, etc).

Y si declaraste un `response_model`, aún se usará para filtrar y convertir el objeto que devolviste.

Así que vamos a usar ese mismo conocimiento para documentar cómo debería verse la *API externa*... creando la(s) *path operation(s)* que la API externa debería implementar (las que tu API va a llamar).

/// tip | Consejo

Cuando escribas el código para documentar un callback, podría ser útil imaginar que eres ese *desarrollador externo*. Y que actualmente estás implementando la *API externa*, no *tu API*.

## Montar una aplicación **FastAPI** { #mounting-a-fastapi-application }

"Montar" significa añadir una aplicación completamente "independiente" en un path específico, que luego se encarga de manejar todo bajo ese path, con las _path operations_ declaradas en esa sub-aplicación.

### Aplicación de nivel superior { #top-level-application }

Primero, crea la aplicación principal de nivel superior de **FastAPI**, y sus *path operations*:

En el caso de tokens bearer (nuestro caso), el valor de ese header debe ser `Bearer`.

De hecho, puedes omitir ese header extra y aún funcionaría.

Pero se proporciona aquí para cumplir con las especificaciones.

Además, podría haber herramientas que lo esperen y lo usen (ahora o en el futuro) y eso podría ser útil para ti o tus usuarios, ahora o en el futuro.

Ese es el beneficio de los estándares...

///

# Cookies de Response { #response-cookies }

## Usar un parámetro `Response` { #use-a-response-parameter }

Puedes declarar un parámetro de tipo `Response` en tu *path operation function*.

Y luego puedes establecer cookies en ese objeto de response *temporal*.

{* ../../docs_src/response_cookies/tutorial002_py310.py hl[1, 8:9] *}

Entonces, uno de tus usuarios podría instalarlo y ejecutarlo localmente.

Después podría abrir un sitio web malicioso, por ejemplo algo como

```
https://evilhackers.example.com
```

Y ese sitio malicioso envía requests usando `fetch()` con un body `Blob` al API local en

```
http://localhost:8000/v1/agents/multivac
```

Cuando un **contenedor** se inicia, ejecutará ese comando/programa (aunque puedes sobrescribirlo y hacer que ejecute un comando/programa diferente).

El resultado es que, en nuestra app, cada una de las *path operations* del módulo `admin` tendrá:

* El prefix `/admin`.
* El tag `admin`.
* La dependencia `get_token_header`.
* La response `418`. 🍵

Pero eso solo afectará a ese `APIRouter` en nuestra app, no en ningún otro código que lo utilice.

Por supuesto, hay algunos casos en los que no hay problema en ejecutar los pasos previos múltiples veces, en ese caso, es mucho más fácil de manejar.

/// tip | Consejo

También, ten en cuenta que dependiendo de tu configuración, en algunos casos **quizás ni siquiera necesites realizar pasos previos** antes de iniciar tu aplicación.

En ese caso, no tendrías que preocuparte por nada de esto. 🤷

///

Luego convertirá y validará los datos. Así que, cuando uses ese objeto `settings`, tendrás datos de los tipos que declaraste (por ejemplo, `items_per_user` será un `int`).

### Usar el `settings` { #use-the-settings }

Luego puedes usar el nuevo objeto `settings` en tu aplicación: