Si vous voulez expérimenter avec des jetons JWT et voir comment ils fonctionnent, consultez [https://jwt.io](https://jwt.io/).

## Installer `PyJWT` { #install-pyjwt }

Nous devons installer `PyJWT` pour générer et vérifier les jetons JWT en Python.

///

## Renvoyer le jeton { #return-the-token }

La réponse de l'endpoint `token` doit être un objet JSON.

Il doit contenir un `token_type`. Dans notre cas, comme nous utilisons des jetons « Bearer », le type de jeton doit être « bearer ».

Et il doit contenir un `access_token`, avec une chaîne contenant notre jeton d'accès.

* Ne stockez jamais de mots de passe en clair, seulement des hachages de mots de passe.
* Implémentez et utilisez des outils cryptographiques reconnus, comme pwdlib et des jetons JWT, ... etc.
* Ajoutez des contrôles d'autorisation plus granulaires avec des scopes OAuth2 lorsque nécessaire.
* ... etc.

<img src="/img/tutorial/security/image11.png">

## Jeton JWT avec scopes { #jwt-token-with-scopes }

Modifiez maintenant le *chemin d’accès* du jeton pour renvoyer les scopes demandés.

Nous utilisons toujours le même `OAuth2PasswordRequestForm`. Il inclut une propriété `scopes` avec une `list` de `str`, contenant chaque scope reçu dans la requête.

Et nous renvoyons les scopes comme partie du jeton JWT.

/// danger | Danger

labels.boost_document_rule_boost_expr=Expression de boost
labels.boost_document_rule_sort_order=Ordre de tri
labels.access_token_configuration=Jeton d'accès
labels.access_token_title_details=Jeton d'accès
labels.access_token_list_name=Nom
labels.access_token_name=Nom
labels.access_token_token=Jeton
labels.access_token_expires=Expire
labels.access_token_parameter_name=Nom du paramètre
labels.access_token_updated_time=Date de création

        Activation activation = profile.getActivation();
        return activation != null && activation.getOs() != null;
    }

    @Override
    public boolean isActive(Profile profile) {
        Activation activation = profile.getActivation();
        ActivationOS os = activation.getOs();

        boolean result = ensureAtLeastOneNonNull(os);

        if (result && os.getFamily() != null) {

* <abbr title="Getting Things Done - S'organiser pour réussir">GTD</abbr>
* <abbr title="less than - inférieur à"><code>lt</code></abbr>
* <abbr title="XML Web Token - Jeton Web XML">XWT</abbr>
* <abbr title="Parallel Server Gateway Interface - Interface passerelle serveur parallèle">PSGI</abbr>

## Gérer les dépendances { #dependencies }

Nous voyons que nous allons avoir besoin de certaines dépendances utilisées à plusieurs endroits de l'application.

Nous les mettons donc dans leur propre module `dependencies` (`app/dependencies.py`).

Nous allons maintenant utiliser une dépendance simple pour lire un en-tête personnalisé `X-Token` :

Vous n'avez en fait pas d'utilisateurs qui se connectent à votre application, mais des robots, bots ou d'autres systèmes, qui n'ont qu'un jeton d'accès ? Là encore, tout fonctionne de la même façon.

    * D'un paramètre de requête.
    * D'un en-tête.
    * D'un cookie.
* `http` : des systèmes d'authentification HTTP standards, notamment :
    * `bearer` : un en-tête `Authorization` avec une valeur `Bearer ` plus un jeton. Hérité d'OAuth2.
    * Authentification HTTP Basic.
    * HTTP Digest, etc.
* `oauth2` : toutes les méthodes OAuth2 pour gérer la sécurité (appelées « flows »).