如果你打開開發者工具，可以看到送出的資料只包含權杖；密碼只會在第一次請求（用來驗證使用者並取得 access token）時送出，之後就不會再送：

<img src="/img/tutorial/security/image10.png">

/// note | 注意

留意標頭 `Authorization`，其值是以 `Bearer ` 開頭。

///

## 進階用法：`scopes` { #advanced-usage-with-scopes }

OAuth2 有「scopes」的概念。

你可以用它們替 JWT 權杖加上一組特定的權限。

接著你可以把這個權杖直接交給某個使用者或第三方，讓他們在一組受限條件下與你的 API 互動。

你可以在之後的「進階使用者指南」學到如何使用它們，以及它們如何整合進 **FastAPI**。

## 小結 { #recap }

如果你打开开发者工具，你会看到发送的数据只包含令牌。密码只会在第一个请求中用于认证用户并获取访问令牌，之后就不会再发送密码了：

<img src="/img/tutorial/security/image10.png">

/// note | 注意

注意 `Authorization` 请求头，其值以 `Bearer ` 开头。

///

## 使用 `scopes` 的高级用法 { #advanced-usage-with-scopes }

OAuth2 支持 “scopes”（作用域）。

你可以用它们为 JWT 令牌添加一组特定的权限。

然后你可以把这个令牌直接交给用户或第三方，在一组限制条件下与 API 交互。

在**高级用户指南**中你将学习如何使用它们，以及它们如何集成进 **FastAPI**。

## 小结 { #recap }

labels.google_chat_webhook_urls=Google Chat Webhook URLs
labels.log_notification_enabled=Log Notification
labels.log_notification_level=Log Notification Level
labels.notification_advance_search=Advanced Search Page
labels.ldap_security_authentication=Security Authentication
labels.ldap_initial_context_factory=Initial Context Factory
labels.general_menu_oic=OpenID Connect
labels.oic_client_id=Client ID

        byte[] dst = new byte[4];
        assertDoesNotThrow(() -> raf.readFully(dst));
        assertEquals(2, calls.get());
    }

    @Test
    @DisplayName("skipBytes(): advances file pointer for positive values")
    void skipBytes_advancesFP() throws Exception {
        SmbRandomAccessFile raf = newInstance("r", false, false, false);
        assertEquals(0L, raf.getFilePointer());

            So they are visible in the OpenAPI specification.

            Read more about it in the
            [FastAPI docs about OAuth2 scopes](https://fastapi.tiangolo.com/advanced/security/oauth2-scopes/)
            """
        ),
    ] = None,
    use_cache: Annotated[
        bool,
        Doc(
            """

### Renvoyer directement une Response { #return-a-response-directly }

Le cas le plus courant serait [de renvoyer directement une Response comme expliqué plus loin dans la documentation avancée](../advanced/response-directly.md).

{* ../../docs_src/response_model/tutorial003_02_py310.py hl[8,10:11] *}

    * Вы также можете добавить [`Security`-зависимости с `scopes`](../advanced/security/oauth2-scopes.md).

/// tip | Подсказка

例如，如果**应用服务器**只接收来自受信任**代理**的通信，你可以设置 `--forwarded-allow-ips="*"`，让它信任所有传入的 IP，因为它只会接收来自**代理**所使用 IP 的请求。

这样，应用就能知道自己的公共 URL、是否使用 HTTPS、域名等信息。

这在需要正确处理重定向等场景时很有用。

/// tip | 提示

你可以在文档中了解更多：[在代理之后 - 启用代理转发请求头](../advanced/behind-a-proxy.md#enable-proxy-forwarded-headers)

///

## 回顾 { #recap }

拥有**HTTPS** 非常重要，并且在大多数情况下相当**关键**。 作为开发人员，你围绕 HTTPS 所做的大部分努力就是**理解这些概念**以及它们的工作原理。

   * 2046</a>.
   *
   * @since 20.0
   */
  public static final MediaType BASIC_AUDIO = createConstant(AUDIO_TYPE, "basic");

  /**
   * Advanced Audio Coding. For more information, see <a
   * href="https://en.wikipedia.org/wiki/Advanced_Audio_Coding">Advanced Audio Coding</a>.
   *
   * @since 20.0
   */
  public static final MediaType AAC_AUDIO = createConstant(AUDIO_TYPE, "aac");

  /**

                } catch (CIFSException e) {
                    // If request failed and we added advanced features, retry with a basic request
                    if ((leasesAdded || persistentHandlesAdded) && shouldRetryWithBasicRequest(e)) {
                        if (log.isDebugEnabled()) {
                            log.debug("CREATE request with advanced features failed ({}), retrying with basic request",