Los **certificados TLS** están **asociados con un nombre de dominio**, no con una dirección IP.

Entonces, para renovar los certificados, el programa de renovación necesita **probar** a la autoridad (Let's Encrypt) que de hecho **"posee" y controla ese dominio**.

Para hacer eso, y para acomodar diferentes necesidades de aplicaciones, hay varias formas en que puede hacerlo. Algunas formas populares son:

Después de una semana, el token estará expirado y el usuario no estará autorizado y tendrá que iniciar sesión nuevamente para obtener un nuevo token. Y si el usuario (o un tercero) intenta modificar el token para cambiar la expiración, podrás descubrirlo, porque las firmas no coincidirían.

Depois de uma semana, o token expirará e o usuário não estará autorizado, precisando fazer login novamente para obter um novo token. E se o usuário (ou uma terceira parte) tentar modificar o token para alterar a expiração, você seria capaz de descobrir isso, pois as assinaturas não iriam corresponder.

errors.invalid_header_for_request_file=Linha de cabeçalho inválida: {0}
errors.could_not_delete_logged_in_user=Não é possível excluir o usuário logado.
errors.unauthorized_request=Solicitação não autorizada.
errors.failed_to_print_thread_dump=Não foi possível imprimir o despejo de threads.
errors.file_is_not_supported={0} não é suportado.
errors.plugin_file_is_not_found={0} não encontrado.

{* ../../docs_src/security/tutorial005_an_py310.py hl[63:66] *}

Pelo motivo de estarmos declarando estes escopos, eles aparecerão nos documentos da API quando você se autenticar/autorizar.

E você poderá selecionar quais escopos você deseja dar acesso: `me` e `items`.

Este é o mesmo mecanismo utilizado quando você adiciona permissões enquanto se autentica com o Facebook, Google, GitHub, etc:

errors.invalid_header_for_request_file=Línea de encabezado no válida: {0}
errors.could_not_delete_logged_in_user=No se puede eliminar el usuario que ha iniciado sesión.
errors.unauthorized_request=Solicitud no autorizada.
errors.failed_to_print_thread_dump=No se pudo imprimir el volcado de hilos.
errors.file_is_not_supported={0} no es compatible.
errors.plugin_file_is_not_found={0} no encontrado.

Você verá algo deste tipo:

<img src="/img/tutorial/security/image01.png">

/// check | Botão Autorizar!

Você já tem um novo botão 'Authorize'.

E sua operação de rota tem um pequeno cadeado no canto superior direito em que você pode clicar.

///

<img src="/img/deployment/https/https.drawio.svg">

Os certificados TLS são associados com um nome de domínio, e não a um endereço IP.

Então para renovar os certificados, o programa de renovação precisa provar para a autoridade (Let's Encrypt) que ele realmente "possui" e controla esse domínio.

Para fazer isso, e acomodar as necessidades de diferentes aplicações, existem diferentes opções para esse programa. Algumas escolhas populares são:

Serán verificados independientemente para cada *path operation*.

## Revisa { #check-it }

Si abres la documentación de la API, puedes autenticarte y especificar qué scopes deseas autorizar.

<img src="/img/tutorial/security/image11.png">