Cada vez que te "logueas con" Facebook, Google, GitHub, Microsoft, X (Twitter), esa aplicación está usando OAuth2 con scopes.

En esta sección verás cómo manejar autenticación y autorización con el mismo OAuth2 con scopes en tu aplicación de **FastAPI**.

/// warning | Advertencia

Esta es una sección más o menos avanzada. Si estás comenzando, puedes saltarla.

[Twittea sobre **FastAPI**](https://x.com/compose/tweet?text=I'm loving @fastapi because... https://github.com/fastapi/fastapi) y dime a mí y a otros por qué te gusta. 🎉

Me encanta escuchar cómo se está utilizando **FastAPI**, qué te ha gustado, en qué proyecto/empresa lo estás usando, etc.

## Vota por FastAPI { #vote-for-fastapi }

* [Vota por **FastAPI** en Slant](https://www.slant.co/options/34241/~fastapi-review).

Si no ve un header `Authorization`, o el valor no tiene un token `Bearer `, responderá directamente con un error de código de estado 401 (`UNAUTHORIZED`).

Ni siquiera tienes que verificar si el token existe para devolver un error. Puedes estar seguro de que si tu función se ejecuta, tendrá un `str` en ese token.

Puedes probarlo ya en los docs interactivos:

<img src="/img/tutorial/security/image03.png">

            * O **FastAPI** adiciona aqui a referência dos esquemas JSON globais que estão localizados em outro lugar, ao invés de incluí-lo diretamente. Deste modo, outras aplicações e clientes podem utilizar estes esquemas JSON diretamente, fornecer melhores ferramentas de geração de código, etc.

///

O retorno gerado no OpenAPI para esta *operação de rota* será:

```JSON hl_lines="3-12"
{
    "responses": {
        "404": {

Aqui estão várias maneiras de fazer isso.

## Dados extras de JSON Schema em modelos Pydantic { #extra-json-schema-data-in-pydantic-models }

Você pode declarar `examples` para um modelo Pydantic que serão adicionados ao JSON Schema gerado.

{* ../../docs_src/schema_extra_example/tutorial001_py310.py hl[13:24] *}

/// info | Detalles Muy Técnicos

**Nota**: este es un detalle muy técnico que probablemente puedes **simplemente omitir**.

---

Los `APIRouter`s no están "montados", no están aislados del resto de la aplicación.

Esto se debe a que queremos incluir sus *path operations* en el esquema de OpenAPI y las interfaces de usuario.

Queremos obtener el `current_user` *solo* si este usuario está activo.

Entonces, creamos una dependencia adicional `get_current_active_user` que a su vez utiliza `get_current_user` como dependencia.

Ambas dependencias solo devolverán un error HTTP si el usuario no existe, o si está inactivo.

Así que, en nuestro endpoint, solo obtendremos un usuario si el usuario existe, fue autenticado correctamente, y está activo:

constraints.Length.message = O comprimento de {item} deve estar entre {min} e {max}.
constraints.LuhnCheck.message = A soma de verificação Luhn Módulo 11 de {value} está incorreta.
constraints.Mod10Check.message = A soma de verificação Módulo 10 de {value} está incorreta.
constraints.Mod11Check.message = A soma de verificação Módulo 11 de {value} está incorreta.

```

No está encriptado, por lo que cualquiera podría recuperar la información de los contenidos.

Pero está firmado. Así que, cuando recibes un token que has emitido, puedes verificar que realmente lo emitiste.

De esta manera, puedes crear un token con una expiración de, digamos, 1 semana. Y luego, cuando el usuario regresa al día siguiente con el token, sabes que el usuario todavía está registrado en tu sistema.

{* ../../docs_src/generate_clients/tutorial002_py310.py hl[21,26,34] *}

### Genera un Cliente TypeScript con tags { #generate-a-typescript-client-with-tags }

Si generas un cliente para una app de FastAPI usando tags, normalmente también separará el código del cliente basándose en los tags.