* O **modelo de entrada** precisa ser capaz de ter uma senha.
* O **modelo de saída** não deve ter uma senha.
* O **modelo de banco de dados** provavelmente precisaria ter uma senha criptografada.

/// danger

Nunca armazene senhas em texto simples dos usuários. Sempre armazene uma "hash segura" que você pode verificar depois.

<img src="/img/tutorial/security/image11.png">

## JWT 令牌作用域

现在，修改令牌*路径操作*，返回请求的作用域。

此处仍然使用 `OAuth2PasswordRequestForm`。它包含类型为**字符串列表**的 `scopes` 属性，且`scopes` 属性中包含要在请求里接收的每个作用域。

这样，返回的 JWT 令牌中就包含了作用域。

/// danger | "危险"

为了简明起见，本例把接收的作用域直接添加到了令牌里。

但在您的应用中，为了安全，应该只把作用域添加到确实需要作用域的用户，或预定义的用户。

///

```Python hl_lines="153"
{!../../docs_src/security/tutorial005.py!}
```

## 在*路径操作*与依赖项中声明作用域

labels.user_roomNumber=roomNumber
labels.roomNumber=roomNumber
labels.user_description=description
labels.description=description
labels.user_title=title
labels.title=title
labels.user_pager=pager
labels.pager=pager
labels.user_street=street
labels.street=street
labels.user_postalCode=postalCode
labels.postalCode=postalCode
labels.user_physicalDeliveryOfficeName=physicalDeliveryOfficeName

            result.setMobile(DfTypeUtil.toString(source.get("mobile")));
            result.setName(DfTypeUtil.toString(source.get("name")));
            result.setPager(DfTypeUtil.toString(source.get("pager")));
            result.setPassword(DfTypeUtil.toString(source.get("password")));
            result.setPhysicalDeliveryOfficeName(DfTypeUtil.toString(source.get("physicalDeliveryOfficeName")));

# 更多模型

书接上文，多个关联模型这种情况很常见。

特别是用户模型，因为：

* **输入模型**应该含密码
* **输出模型**不应含密码
* **数据库模型**需要加密的密码

/// danger | "危险"

千万不要存储用户的明文密码。始终存储可以进行验证的**安全哈希值**。

如果不了解这方面的知识，请参阅[安全性中的章节](security/simple-oauth2.md#password-hashing){.internal-link target=_blank}，了解什么是**密码哈希**。

///

## 多个模型

下面的代码展示了不同模型处理密码字段的方式，及使用位置的大致思路：

//// tab | Python 3.10+

```Python hl_lines="7  9  14  20  22  27-28  31-33  38-39"

    for (Class<?> eventType : eventTypes) {
      CopyOnWriteArraySet<Subscriber> eventSubscribers = subscribers.get(eventType);
      if (eventSubscribers != null) {
        // eager no-copy snapshot
        subscriberIterators.add(eventSubscribers.iterator());
      }
    }

    return Iterators.concat(subscriberIterators.iterator());
  }

  /**

* Das **Datenbankmodell** sollte wahrscheinlich ein <abbr title='Ein aus scheinbar zufälligen Zeichen bestehender „Fingerabdruck“ eines Textes. Der Inhalt des Textes kann nicht eingesehen werden.'>gehashtes</abbr> Passwort haben.

/// danger | "Gefahr"

Speichern Sie niemals das Klartext-Passwort eines Benutzers. Speichern Sie immer den „sicheren Hash“, den Sie verifizieren können.

labels.roomNumber	=	Numéro de chambre
labels.user_description	=	Description
labels.description	=	Description
labels.user_title	=	Titre
labels.title	=	Titre
labels.user_pager	=	Pager
labels.pager	=	Pager
labels.user_street	=	Rue
labels.street	=	Rue
labels.user_postalCode	=	Code Postal
labels.postalCode	=	Code Postal
labels.user_physicalDeliveryOfficeName	=	Nom du bureau de livraison physique

/// note | "Hinweis"

Wenn Sie eine Response-Klasse ohne Medientyp verwenden, erwartet FastAPI, dass Ihre Response keinen Inhalt hat, und dokumentiert daher das Format der Response nicht in deren generierter OpenAPI-Dokumentation.

///

## `ORJSONResponse` verwenden

//// tab | Python 3.8+ alternative

```Python hl_lines="1  4"
{!> ../../docs_src/python_types/tutorial009b.py!}
```

////

#### Gebruik van `Union` of `Optional`

Als je een Python versie lager dan 3.10 gebruikt, is dit een tip vanuit mijn **subjectieve** standpunt:

* 🚨 Vermijd het gebruik van `Optional[EenType]`.
* Gebruik in plaats daarvan **`Union[EenType, None]`** ✨.