Los **certificados TLS** están **asociados con un nombre de dominio**, no con una dirección IP.

Entonces, para renovar los certificados, el programa de renovación necesita **probar** a la autoridad (Let's Encrypt) que de hecho **"posee" y controla ese dominio**.

Para hacer eso, y para acomodar diferentes necesidades de aplicaciones, hay varias formas en que puede hacerlo. Algunas formas populares son:

Después de una semana, el token estará expirado y el usuario no estará autorizado y tendrá que iniciar sesión nuevamente para obtener un nuevo token. Y si el usuario (o un tercero) intenta modificar el token para cambiar la expiración, podrás descubrirlo, porque las firmas no coincidirían.

Depois de uma semana, o token expirará e o usuário não estará autorizado, precisando fazer login novamente para obter um novo token. E se o usuário (ou uma terceira parte) tentar modificar o token para alterar a expiração, você seria capaz de descobrir isso, pois as assinaturas não iriam corresponder.

Você verá algo deste tipo:

<img src="/img/tutorial/security/image01.png">

/// check | Botão de Autorizar!



///

	Você já tem um novo "botão de autorizar!".

	E seu *path operation* tem um pequeno cadeado no canto superior direito que você pode clicar.

Para os casos mais simples, você pode utilizar o HTTP Basic Auth.

No HTTP Basic Auth, a aplicação espera um cabeçalho que contém um usuário e uma senha.

Caso ela não receba, ela retorna um erro HTTP 401 "Unauthorized" (*Não Autorizado*).

E retorna um cabeçalho `WWW-Authenticate` com o valor `Basic`, e um parâmetro opcional `realm`.

Isso sinaliza ao navegador para mostrar o prompt integrado para um usuário e senha.

{* ../../docs_src/security/tutorial005_an_py310.py hl[63:66] *}

Pelo motivo de estarmos declarando estes escopos, eles aparecerão nos documentos da API quando você se autenticar/autorizar.

E você poderá selecionar quais escopos você deseja dar acesso: `me` e `items`.

Este é o mesmo mecanismo utilizado quando você adiciona permissões enquanto se autentica com o Facebook, Google, GitHub, etc:

errors.invalid_header_for_request_file=Linha de cabeçalho inválida: {0}
errors.could_not_delete_logged_in_user=Não é possível excluir o usuário logado.
errors.unauthorized_request=Solicitação não autorizada.
errors.failed_to_print_thread_dump=Não foi possível imprimir o despejo de threads.
errors.file_is_not_supported={0} não é suportado.
errors.plugin_file_is_not_found={0} não encontrado.

errors.invalid_header_for_request_file=Línea de encabezado no válida: {0}
errors.could_not_delete_logged_in_user=No se puede eliminar el usuario que ha iniciado sesión.
errors.unauthorized_request=Solicitud no autorizada.
errors.failed_to_print_thread_dump=No se pudo imprimir el volcado de hilos.
errors.file_is_not_supported={0} no es compatible.
errors.plugin_file_is_not_found={0} no encontrado.

Os **certificados TLS** são **associados com um nome de domínio**, e não a um endereço IP.

Então para renovar os certificados, o programa de renovação precisa **provar** para a autoridade (Let's Encrypt) que ele realmente **possui e controla esse domínio**>

Para fazer isso, e acomodar as necessidades de diferentes aplicações, existem diferentes opções para esse programa. Algumas escolhas populares são:

Serán verificados independientemente para cada *path operation*.

## Revisa

Si abres la documentación de la API, puedes autenticarte y especificar qué scopes deseas autorizar.

<img src="/img/tutorial/security/image11.png">