También declaramos un parámetro especial de tipo `SecurityScopes`, importado de `fastapi.security`.

Esta clase `SecurityScopes` es similar a `Request` (`Request` se usó para obtener el objeto request directamente).

{* ../../docs_src/security/tutorial005_an_py310.py hl[9,106] *}

## Usar los `scopes`

El parámetro `security_scopes` será del tipo `SecurityScopes`.

        override fun request(): Request = TODO()

        override fun execute(): Response = TODO()

        override fun enqueue(responseCallback: Callback) = TODO()

        override fun cancel() = TODO()

        override fun isExecuted(): Boolean = TODO()

        override fun isCanceled(): Boolean = TODO()

        override fun timeout(): Timeout = TODO()

        override fun clone(): Call = TODO()

`OAuth2PasswordRequestForm` é uma dependência de classe que declara um corpo de formulário com:

* O `username`.
* A `password`.
* Um campo `scope` opcional como uma string grande, composta de strings separadas por espaços.
* Um `grant_type` (tipo de concessão) opcional.

/// tip | Dica

A especificação OAuth2 na verdade *requer* um campo `grant_type` com um valor fixo de `password`, mas `OAuth2PasswordRequestForm` não o impõe.

  // mode.
  static int listListIteratorTesterNumIterations() {
    // TODO(hhchan): It's 4 in java.  Figure out why even 3 is too slow in prod mode.
    return 2;
  }

  // Use fewer steps in the IteratorTester in CollectionIteratorTester because it's slow in prod
  // mode.
  static int collectionIteratorTesterNumIterations() {
    return 3;
  }

  // TODO: Consolidate different copies in one single place.

Você pode declarar o tipo usado para a resposta anotando o **tipo de retorno** *da função de operação de rota*.

Você pode usar **anotações de tipo** da mesma forma que usaria para dados de entrada em **parâmetros** de função, você pode usar modelos Pydantic, listas, dicionários, valores escalares como inteiros, booleanos, etc.

{* ../../docs_src/response_model/tutorial001_01_py310.py hl[16,21] *}

    linkedHashMultiset = LinkedHashMultiset.create(size);
    treeMultiset = TreeMultiset.create();

    Random random = new Random();

    int sizeRemaining = size;

    // TODO(kevinb): generate better test contents for multisets
    while (sizeRemaining > 0) {
      // The JVM will return interned values for small ints.
      Integer value = random.nextInt(1000) + 128;

public abstract class AbstractCollectionTester<E extends @Nullable Object>
    extends AbstractContainerTester<Collection<E>, E> {

  // TODO: replace this with an accessor.
  protected Collection<E> collection;

  @Override
  protected Collection<E> actualContents() {
    return collection;
  }

  // TODO: dispose of this once collection is encapsulated.
  @Override
  @CanIgnoreReturnValue

    synchronized (lock) {
      list.clear();
    }
  }

  /** Returns a snapshot of the logged records. */
  /*
   * TODO(cpovirk): consider higher-level APIs here (say, assertNoRecordsLogged(),
   * getOnlyRecordLogged(), getAndClearLogRecords()...)
   *
   * TODO(cpovirk): consider renaming this method to reflect that it takes a snapshot (and/or return
   * an ImmutableList)
   */

public abstract class AbstractCollectionTester<E extends @Nullable Object>
    extends AbstractContainerTester<Collection<E>, E> {

  // TODO: replace this with an accessor.
  protected Collection<E> collection;

  @Override
  protected Collection<E> actualContents() {
    return collection;
  }

  // TODO: dispose of this once collection is encapsulated.
  @Override
  @CanIgnoreReturnValue

# OAuth2 con Password (y hashing), Bearer con tokens JWT

Ahora que tenemos todo el flujo de seguridad, hagamos que la aplicación sea realmente segura, usando tokens <abbr title="JSON Web Tokens">JWT</abbr> y hashing de contraseñas seguras.

Este código es algo que puedes usar realmente en tu aplicación, guardar los hashes de las contraseñas en tu base de datos, etc.

Vamos a empezar desde donde lo dejamos en el capítulo anterior e incrementarlo.

## Acerca de JWT