# OAuth2 com Senha (e hashing), Bearer com tokens JWT { #oauth2-with-password-and-hashing-bearer-with-jwt-tokens }

Agora que temos todo o fluxo de segurança, vamos tornar a aplicação realmente segura, usando tokens <abbr title="JSON Web Tokens">JWT</abbr> e hashing de senhas seguras.

Este código é algo que você pode realmente usar na sua aplicação, salvar os hashes das senhas no seu banco de dados, etc.

Vamos começar de onde paramos no capítulo anterior e incrementá-lo.

            doColumn("hostname");
        }

        public void columnParameters() {
            doColumn("parameters");
        }

        public void columnPassword() {
            doColumn("password");
        }

        public void columnPort() {
            doColumn("port");
        }

        public void columnProtocolScheme() {
            doColumn("protocolScheme");
        }

    <version>4.1.0-SNAPSHOT</version>
  </parent>

  <artifactId>maven-settings-builder</artifactId>

  <name>Maven Settings Builder (deprecated)</name>
  <description>The effective settings builder, with inheritance and password decryption.</description>

  <contributors>
    <contributor>
      <name>Thomas Meyer</name>
    </contributor>
  </contributors>

  <dependencies>
    <dependency>

                }
            }
        },
        "components": {
            "securitySchemes": {
                "OAuth2PasswordBearer": {
                    "type": "oauth2",
                    "flows": {"password": {"scopes": {}, "tokenUrl": "token"}},
                }
            },
        },

        assertFalse(useRawNTLM, "Should delegate raw NTLM setting");
        assertTrue(disablePlainTextPasswords, "Should delegate plain text password setting");
        assertEquals("GUEST", guestUsername, "Should delegate guest username");
        assertEquals("", guestPassword, "Should delegate guest password");
        assertFalse(allowGuestFallback, "Should delegate guest fallback setting");

        verify(mockDelegate).getLanManCompatibility();

    protected static final String SPNEGO_ALLOW_BASIC = "spnego.allow.basic";

    /** Configuration key for pre-authentication password. */
    protected static final String SPNEGO_PREAUTH_PASSWORD = "spnego.preauth.password";

    /** Configuration key for pre-authentication username. */
    protected static final String SPNEGO_PREAUTH_USERNAME = "spnego.preauth.username";

                    (fields) defined in the `response_model`. If you returned an object
                    that contains an attribute `password` but the `response_model` does
                    not include that field, the JSON sent to the client would not have
                    that `password`.
                * Validation: whatever you return will be serialized with the

					<div class="input-group mb-3">
						<c:set var="ph_new_password">
							<la:message key="labels.login.placeholder_new_password" />
						</c:set>
						<la:password property="password" class="form-control"
							placeholder="${ph_new_password}" />
						<div class="input-group-append">
							<span class="input-group-text">
								<i class="fa fa-lock fa-fw" aria-hidden="true"></i>
							</span>

        * `clientCredentials`— облікові дані клієнта
        * `authorizationCode` — код авторизації
    * Але є один окремий «потік», який ідеально підходить для реалізації автентифікації всередині одного додатку:
        * `password`: у наступних розділах буде приклад використання цього потоку.
* `openIdConnect`: дозволяє автоматично виявляти параметри автентифікації OAuth2.
    * Це автоматичне виявлення визначається у специфікації OpenID Connect.

您可以使用 Pydantic 的模型配置来禁止（ `forbid` ）任何额外（ `extra` ）字段：

{* ../../docs_src/request_form_models/tutorial002_an_py39.py hl[12] *}

如果客户端尝试发送一些额外的数据，他们将收到**错误**响应。

例如，如果客户端尝试发送这样的表单字段：

* `username`: `Rick`
* `password`: `Portal Gun`
* `extra`: `Mr. Poopybutthole`

他们将收到一条错误响应，表明字段 `extra` 是不被允许的：

```json
{
    "detail": [
        {
            "type": "extra_forbidden",
            "loc": ["body", "extra"],