}

    @Test
    @DisplayName("Should handle large session key")
    void testDeriveKeys_LargeSessionKey() {
        // Given
        byte[] largeSessionKey = new byte[256]; // Larger than typical 16-byte key
        new SecureRandom().nextBytes(largeSessionKey);
        int dialect = Smb2Constants.SMB2_DIALECT_0311;

        // When

## 🥙 🤝 ⏮️ ↔

🔜, 🔀 🤝 *➡ 🛠️* 📨 ↔ 📨.

👥 ⚙️ 🎏 `OAuth2PasswordRequestForm`. ⚫️ 🔌 🏠 `scopes` ⏮️ `list` `str`, ⏮️ 🔠 ↔ ⚫️ 📨 📨.

& 👥 📨 ↔ 🍕 🥙 🤝.

/// danger

🦁, 📥 👥 ❎ ↔ 📨 🔗 🤝.

✋️ 👆 🈸, 💂‍♂, 👆 🔜 ⚒ 💭 👆 🕴 🚮 ↔ 👈 👩‍💻 🤙 💪 ✔️, ⚖️ 🕐 👆 ✔️ 🔁.

///

{* ../../docs_src/security/tutorial005.py hl[156] *}

## 📣 ↔ *➡ 🛠️* & 🔗

Aber wenn wir dasselbe Modell für eine andere *Pfadoperation* verwenden, könnten wir das Passwort dieses Benutzers zu jedem Client schicken.

/// danger | Gefahr

Speichern Sie niemals das Klartext-Passwort eines Benutzers, oder versenden Sie es in einer Response wie dieser, wenn Sie sich nicht der resultierenden Gefahren bewusst sind und nicht wissen, was Sie tun.

///

We are still using the same `OAuth2PasswordRequestForm`. It includes a property `scopes` with a `list` of `str`, with each scope it received in the request.

And we return the scopes as part of the JWT token.

/// danger

For simplicity, here we are just adding the scopes received directly to the token.

          "google.Co.uK",
          "google.com",
          "home.netscape.com",
          "it-trace.ch",
          "jobs.kt.com.",
          "jprs.co.jp",
          "kt.co",
          "ledger-enquirer.com",
          "members.blah.nl.",
          "pvt.k12.ca.us",
          "site.ac.jp",
          "site.ad.jp",
          "site.cc",
          "site.ed.jp",
          "site.ee",

Pero si usamos el mismo modelo para otra *path operation*, podríamos estar enviando las contraseñas de nuestros usuarios a cada cliente.

/// danger | Peligro

Nunca almacenes la contraseña en texto plano de un usuario ni la envíes en un response como esta, a menos que conozcas todas las advertencias y sepas lo que estás haciendo.

///

    CountingLoader loader = new CountingLoader();
    LocalCache<Object, Object> map = makeLocalCache(createCacheBuilder());
    assertEquals(0, loader.getCount());

    Object key = new Object();
    Object value = map.get(key, loader);
    assertEquals(1, loader.getCount());
    assertEquals(value, map.get(key, loader));
    assertEquals(1, loader.getCount());
  }

Todavía estamos usando el mismo `OAuth2PasswordRequestForm`. Incluye una propiedad `scopes` con una `list` de `str`, con cada scope que recibió en el request.

Y devolvemos los scopes como parte del token JWT.

/// danger | Peligro

Para simplificar, aquí solo estamos añadiendo los scopes recibidos directamente al token.

Ahora usamos `response_model=HeroPublic` en lugar de la **anotación de tipo de retorno** `-> HeroPublic` porque el valor que estamos devolviendo en realidad *no* es un `HeroPublic`.

Si hubiéramos declarado `-> HeroPublic`, tu editor y linter se quejarían (con razón) de que estás devolviendo un `Hero` en lugar de un `HeroPublic`.

      .assertNoMoreLogs()
  }

  private fun request(): Request.Builder = Request.Builder().url(url)

  internal class LogRecorder(
    val prefix: Regex = Regex(""),
  ) : HttpLoggingInterceptor.Logger {
    private val logs = mutableListOf<String>()
    private var index = 0

    fun assertLogEqual(expected: String) =
      apply {
        assertThat(index, "No more messages found")