* the class
* the base class
* the parent class
* the subclass
* the child class
* the sibling class
* the class method

* the header
* the headers
* the authorization header
* the `Authorization` header
* the forwarded header

* the dependency injection system
* the dependency
* the dependable
* the dependant

* I/O bound
* CPU bound
* concurrency
* parallelism

//     kmskey: "key-id" # match objects with KMS key-id (applicable only for sse-kms)
//   notify:
//     endpoint: "https://notify.endpoint" # notification endpoint to receive job status events
//     token: "Bearer xxxxx" # optional authentication token for the notification endpoint

//   retry:
//     attempts: 10 # number of retries for the job before giving up
//     delay: "500ms" # least amount of delay between each retry

/// info | 信息

在 OAuth2 中，“作用域”只是一个声明所需特定权限的字符串。

是否包含像 `:` 这样的字符，或者是不是一个 URL，并不重要。

这些细节取决于具体实现。

对 OAuth2 而言，它们都只是字符串。

///

## 全局纵览 { #global-view }

首先，让我们快速看看与**用户指南**中 [OAuth2 实现密码（含哈希）、Bearer + JWT 令牌](../../tutorial/security/oauth2-jwt.md) 示例相比有哪些变化。现在开始使用 OAuth2 作用域：

{* ../../docs_src/security/tutorial005_an_py310.py hl[5,9,13,47,65,106,108:116,122:126,130:136,141,157] *}

下面我们逐步回顾这些更改。

* 型ヒント

* サーバーワーカー
* Uvicorn ワーカー
* Gunicorn ワーカー
* ワーカープロセス
* ワーカークラス
* ワークロード

* デプロイ
* デプロイする

* SDK
* ソフトウェア開発キット

* `APIRouter`
* `requirements.txt`
* Bearer Token
* 破壊的変更
* バグ
* ボタン
* 呼び出し可能
* コード
* コミット
* コンテキストマネージャ
* コルーチン
* データベースセッション
* ディスク
* ドメイン
* エンジン
* フェイクの X
* HTTP GET メソッド
* アイテム
* ライブラリ
* ライフスパン

`:` のような他の文字が含まれていても、URL であっても問題ありません。

それらの詳細は実装依存です。

OAuth2 にとっては、単に文字列に過ぎません。

///

## 全体像 { #global-view }

まず、メインの**チュートリアル - ユーザーガイド**にある [OAuth2（パスワード［ハッシュ化あり］）、Bearer と JWT トークン](../../tutorial/security/oauth2-jwt.md) の例から変更される部分を、スコープ付き OAuth2 を使って手早く見てみましょう。

{* ../../docs_src/security/tutorial005_an_py310.py hl[5,9,13,47,65,106,108:116,122:126,130:136,141,157] *}

では、これらの変更を一つずつ確認していきます。

/// info | Información

El header adicional `WWW-Authenticate` con el valor `Bearer` que estamos devolviendo aquí también es parte de la especificación.

Cualquier código de estado HTTP (error) 401 "UNAUTHORIZED" se supone que también debe devolver un header `WWW-Authenticate`.

En el caso de tokens bearer (nuestro caso), el valor de ese header debe ser `Bearer`.

/// info | Info

Der zusätzliche Header `WWW-Authenticate` mit dem Wert `Bearer`, den wir hier zurückgeben, ist ebenfalls Teil der Spezifikation.

Jeder HTTP-(Fehler-)Statuscode 401 „UNAUTHORIZED“ soll auch einen `WWW-Authenticate`-Header zurückgeben.

Im Fall von Bearer-Tokens (in unserem Fall) sollte der Wert dieses Headers `Bearer` lauten.

Sie können diesen zusätzlichen Header tatsächlich weglassen und es würde trotzdem funktionieren.

FastAPI wird im <abbr title="Request – Anfrage: Daten, die der Client zum Server sendet">Request</abbr> nach diesem `Authorization`-Header suchen, prüfen, ob der Wert `Bearer ` plus ein Token ist, und den Token als `str` zurückgeben.

Wenn es keinen `Authorization`-Header sieht, oder der Wert keinen `Bearer `-Token hat, antwortet es direkt mit einem 401-Statuscode-Error (`UNAUTHORIZED`).

For most migration scenarios, we recommend using the modern JSON Search API (`/api/v1/documents`) instead.

### Admin APIs

All admin APIs require authentication (`-u admin:admin` or Bearer token).

**Base Path**: `/api/admin/`

**Available Endpoints**:
- `POST /backup/upload` - Upload backup/import files
- `GET /backup/export` - Export configurations
- `PUT /documents/bulk` - Bulk document import

/// info | Дополнительная информация
Дополнительный HTTP-заголовок `WWW-Authenticate` со значением `Bearer`, который мы здесь возвращаем, также является частью спецификации.

Любой HTTP статус-код 401 "UNAUTHORIZED" должен также возвращать заголовок `WWW-Authenticate`.

В случае с bearer-токенами (наш случай) значение этого заголовка должно быть `Bearer`.

Фактически, этот дополнительный заголовок можно опустить, и всё будет работать.