Ahora que tenemos todo el flujo de seguridad, hagamos que la aplicación sea realmente segura, usando tokens <abbr title="JSON Web Tokens">JWT</abbr> y hashing de contraseñas seguras.

Este código es algo que puedes usar realmente en tu aplicación, guardar los hashes de las contraseñas en tu base de datos, etc.

Vamos a empezar desde donde lo dejamos en el capítulo anterior e incrementarlo.

## Acerca de JWT

En este caso, pasamos una función de dependencia `get_current_active_user` a `Security` (de la misma manera que haríamos con `Depends`).

Pero también pasamos una `list` de scopes, en este caso con solo un scope: `items` (podría tener más).

{* ../../docs_src/path_params/tutorial002.py hl[7] *}

En este caso, `item_id` se declara como un `int`.

/// check | Revisa

Esto te dará soporte del editor dentro de tu función, con chequeo de errores, autocompletado, etc.

///

## Conversión de datos

Probablemente no querrías llevar a tu crush 😍 contigo a hacer trámites en el banco 🏦.

### Conclusión de las Hamburguesas

En este escenario de "hamburguesas de comida rápida con tu crush", como hay mucha espera 🕙, tiene mucho más sentido tener un sistema concurrente ⏸🔀⏯.

Este es el caso para la mayoría de las aplicaciones web.

///

## Conversión de tipos en parámetros de query

También puedes declarar tipos `bool`, y serán convertidos:

{* ../../docs_src/query_params/tutorial003_py310.py hl[7] *}

En este caso, si vas a:

```
http://127.0.0.1:8000/items/foo?short=1
```

o

```
http://127.0.0.1:8000/items/foo?short=True
```

o

```
http://127.0.0.1:8000/items/foo?short=true
```

errors.design_file_is_unsupported_type = Este tipo de archivo no es compatible.
errors.failed_to_create_crawling_config_at_wizard = No se pudo crear la configuración de rastreo en el asistente.
errors.design_editor_disabled = Esta función está deshabilitada.
errors.not_found_on_file_system = No encontrado. Causa: {0}
errors.could_not_open_on_system = No se puede abrir {0}.<br>Asegúrese de que el archivo esté asociado con una aplicación.

# OAuth2 com Senha (e hashing), Bearer com tokens JWT

Agora que temos todo o fluxo de segurança, vamos tornar a aplicação realmente segura, usando tokens <abbr title="JSON Web Tokens">JWT</abbr> e hashing de senhas seguras.

Este código é algo que você pode realmente usar na sua aplicação, salvar os hashes das senhas no seu banco de dados, etc.

Vamos começar de onde paramos no capítulo anterior e incrementá-lo.

## Sobre o JWT

Pelo motivo de estarmos declarando estes escopos, eles aparecerão nos documentos da API quando você se autenticar/autorizar.

E você poderá selecionar quais escopos você deseja dar acesso: `me` e `items`.

Este é o mesmo mecanismo utilizado quando você adiciona permissões enquanto se autentica com o Facebook, Google, GitHub, etc:

<img src="/img/tutorial/security/image11.png">

## Token JWT com escopos

			<artifactId>dbflute-runtime</artifactId>
			<version>${dbflute.version}</version>
		</dependency>

		<!-- J2EE -->
		<dependency>
			<groupId>jakarta.servlet.jsp.jstl</groupId>
			<artifactId>jakarta.servlet.jsp.jstl-api</artifactId>
			<version>${jakarta.jstl.api.version}</version>
			<!-- <scope>provided</scope> -->
			<exclusions>
				<exclusion>
					<groupId>jakarta.el</groupId>

    * `password`: algunos de los próximos capítulos cubrirán ejemplos de esto.
* `openIdConnect`: tiene una forma de definir cómo descubrir automáticamente los datos de autenticación OAuth2.
  * Este descubrimiento automático es lo que se define en la especificación de OpenID Connect.

/// tip | Consejo