Il a les mêmes champs que `HeroBase`, il n'inclura donc pas `secret_name`.

Enfin, l'identité de nos héros est protégée ! 🥷

Il redéclare aussi `id: int`. Ce faisant, nous faisons un **contrat** avec les clients de l'API, afin qu'ils puissent toujours s'attendre à ce que `id` soit présent et soit un `int` (il ne sera jamais `None`).

/// tip | Astuce

Pour créer le *chemin d'accès* du callback, utilisez le même `APIRouter` que vous avez créé ci-dessus.

Il devrait ressembler exactement à un *chemin d'accès* FastAPI normal :

* Il devrait probablement déclarer le corps qu’il doit recevoir, par exemple `body: InvoiceEvent`.
* Et il pourrait aussi déclarer la réponse qu’il doit renvoyer, par exemple `response_model=InvoiceEventReceived`.

Si un client tente d'envoyer des données supplémentaires dans les paramètres de requête, il recevra une réponse d'erreur.

Par exemple, si le client tente d'envoyer un paramètre de requête `tool` avec la valeur `plumbus`, comme :

```http
https://example.com/items/?limit=10&tool=plumbus
```

Il recevra une réponse d'erreur lui indiquant que le paramètre de requête `tool` n'est pas autorisé :

```json
{

{* ../../docs_src/request_form_models/tutorial002_an_py310.py hl[12] *}

Si un client tente d'envoyer des données supplémentaires, il recevra une **réponse d'erreur**.

Par exemple, si le client essaie d'envoyer les champs de formulaire :

* `username`: `Rick`
* `password`: `Portal Gun`
* `extra`: `Mr. Poopybutthole`

Il recevra une réponse d'erreur lui indiquant que le champ `extra` n'est pas autorisé :

```json
{
    "detail": [

{* ../../docs_src/dependencies/tutorial011_an_py310.py hl[22] *}

/// tip | Astuce

Tout cela peut sembler artificiel. Et il n’est peut‑être pas encore très clair en quoi c’est utile.

Ces exemples sont volontairement simples, mais ils montrent comment tout cela fonctionne.

Dans les chapitres sur la sécurité, il existe des fonctions utilitaires implémentées de la même manière.

Le plus courant est le flux implicite.

Le plus sûr est le flux « code », mais il est plus complexe à implémenter car il nécessite plus d’étapes. Comme il est plus complexe, de nombreux fournisseurs finissent par recommander le flux implicite.

/// note | Remarque

Il est courant que chaque fournisseur d’authentification nomme ses flux différemment, pour en faire une partie de sa marque.

# Histoire, conception et avenir { #history-design-and-future }

Il y a quelque temps, [un utilisateur de **FastAPI** a demandé](https://github.com/fastapi/fastapi/issues/3#issuecomment-454956920) :

> Quelle est l'histoire de ce projet ? Il semble être sorti de nulle part et est devenu génial en quelques semaines [...].

Voici un petit bout de cette histoire.

## Alternatives { #alternatives }

Vous pouvez ensuite utiliser `Field` avec des attributs de modèle :

{* ../../docs_src/body_fields/tutorial001_an_py310.py hl[11:14] *}

`Field` fonctionne de la même manière que `Query`, `Path` et `Body`, il dispose des mêmes paramètres, etc.

/// note | Détails techniques

///

## Renvoyer le jeton { #return-the-token }

La réponse de l'endpoint `token` doit être un objet JSON.

Il doit contenir un `token_type`. Dans notre cas, comme nous utilisons des jetons « Bearer », le type de jeton doit être « bearer ».

Et il doit contenir un `access_token`, avec une chaîne contenant notre jeton d'accès.

    * Dans les requêtes et les réponses, il sera représenté sous forme de `str`.
* `datetime.datetime` :
    * Un `datetime.datetime` Python.
    * Dans les requêtes et les réponses, il sera représenté sous forme de `str` au format ISO 8601, par exemple : `2008-09-15T15:53:00+05:00`.
* `datetime.date` :
    * `datetime.date` Python.