- 🦇 Prise en charge du mode sombre.
- 🐋 [Docker Compose](https://www.docker.com) pour le développement et la production.
- 🔒 Hachage sécurisé des mots de passe par défaut.
- 🔑 Authentification JWT (JSON Web Token).
- 📫 Récupération de mot de passe par e-mail.
- ✅ Tests avec [Pytest](https://pytest.org).
- 📞 [Traefik](https://traefik.io) comme proxy inverse / répartiteur de charge.

- Налаштуйте потрібні дозволи та ролі за допомогою залежностей.
- Ніколи не зберігайте паролі у відкритому вигляді, лише хеші паролів.
- Реалізуйте та використовуйте відомі криптографічні інструменти, як-от pwdlib і токени JWT.
- Додайте більш детальний контроль дозволів із областями OAuth2 там, де це потрібно.
- ...тощо.

/// tip | Tipp

Im nächsten Kapitel sehen Sie eine wirklich sichere Implementierung mit Passwort-Hashing und <abbr title="JSON Web Tokens">JWT</abbr>-Tokens.

Aber konzentrieren wir uns zunächst auf die spezifischen Details, die wir benötigen.

///

{* ../../docs_src/security/tutorial003_an_py310.py hl[87] *}

/// tip | Tipp

/// tip

In the next chapter, you will see a real secure implementation, with password hashing and <abbr title="JSON Web Tokens">JWT</abbr> tokens.

But for now, let's focus on the specific details we need.

///

{* ../../docs_src/security/tutorial003_an_py310.py hl[87] *}

/// tip

/// tip | Consejo

En el próximo capítulo, verás una implementación segura real, con hashing de passwords y tokens <abbr title="JSON Web Tokens">JWT</abbr>.

Pero por ahora, enfoquémonos en los detalles específicos que necesitamos.

///

{* ../../docs_src/security/tutorial003_an_py310.py hl[87] *}

/// tip | Consejo

如果你想保护你的 API，有很多更好的措施，例如：

- 确保为请求体和响应定义完善的 Pydantic 模型。
- 使用依赖配置所需的权限和角色。
- 绝不要存储明文密码，只存储密码哈希。
- 实现并使用成熟的密码学工具，比如 pwdlib 和 JWT 令牌等。
- 在需要的地方使用 OAuth2 作用域添加更细粒度的权限控制。
- ...等。

尽管如此，你可能确实有非常特定的用例，需要在某些环境（例如生产环境）禁用 API 文档，或根据环境变量的配置来决定。

## 基于设置和环境变量的条件式 OpenAPI { #conditional-openapi-from-settings-and-env-vars }

Bu basit örnekte tamamen güvensiz davranıp token olarak aynı `username`’i döndüreceğiz.

/// tip | İpucu

Bir sonraki bölümde, password hashing ve <abbr title="JSON Web Tokens">JWT</abbr> token’ları ile gerçekten güvenli bir implementasyon göreceksiniz.

Ama şimdilik ihtiyacımız olan spesifik detaylara odaklanalım.

///

{* ../../docs_src/security/tutorial003_an_py310.py hl[87] *}

API를 보호하고 싶다면, 예를 들어 다음과 같은 더 나은 방법들이 있습니다:

* 요청 본문과 응답에 대해 잘 정의된 Pydantic 모델이 있는지 확인하세요.
* 종속성을 사용하여 필요한 권한과 역할을 구성하세요.
* 평문 비밀번호를 절대 저장하지 말고, 비밀번호 해시만 저장하세요.
* pwdlib와 JWT 토큰 등과 같은 잘 알려진 암호화 도구들을 구현하고 사용하세요.
* 필요한 곳에 OAuth2 범위를 사용하여 더 세분화된 권한 제어를 추가하세요.
* ...등등.

그럼에도 불구하고, 특정 환경(예: 프로덕션)에서 또는 환경 변수의 설정에 따라 API docs를 비활성화해야 하는 매우 특정한 사용 사례가 있을 수 있습니다.

  - 🤖 自動產生的前端用戶端。
  - 🧪 [Playwright](https://playwright.dev) 用於端到端測試。
  - 🦇 支援深色模式。
- 🐋 [Docker Compose](https://www.docker.com) 用於開發與正式環境。
- 🔒 預設即採用安全的密碼雜湊。
- 🔑 JWT（JSON Web Token）驗證。
- 📫 以 Email 為基礎的密碼重設。
- ✅ 使用 [Pytest](https://pytest.org) 的測試。
- 📞 [Traefik](https://traefik.io) 作為反向代理／負載平衡器。
- 🚢 使用 Docker Compose 的部署指引，包含如何設定前端 Traefik 代理以自動處理 HTTPS 憑證。

如果你想保護 API，有許多更好的作法，例如：

- 確保針對請求本文與回應，具備定義良好的 Pydantic 模型。
- 透過依賴設定所需的權限與角色。
- 切勿儲存明文密碼，只儲存密碼雜湊。
- 實作並使用成熟且廣為人知的密碼學工具，例如 pwdlib 與 JWT 權杖等。
- 視需要以 OAuth2 scopes 新增更細緻的權限控管。
- ...等。

儘管如此，在某些特定情境下，你可能確實需要在某些環境（例如正式環境）停用 API 文件，或依據環境變數的設定來決定是否啟用。

## 透過設定與環境變數的條件式 OpenAPI { #conditional-openapi-from-settings-and-env-vars }