# Tokens com Escopo: Melhores Práticas
impact.com permite que você crie *tokens com escopo*: credenciais de API com permissões granulares, que concedem acesso a endpoints específicos da API. Saiba mais sobre [manter seus tokens seguros](https://help.impact.com/other/pt-br/readme/api-access-tokens-and-changelog/keep-your-access-tokens-secure).
#### Benefícios dos tokens com escopo
Maior segurança
Os tokens com escopo permitem acesso apenas ao que é necessário, reduzindo o risco se as credenciais forem comprometidas.
Melhor controle de acesso
Defina permissões específicas para o que cada token pode fazer com APIs específicas.
Simplifique o gerenciamento
Agilize a supervisão dos tokens, especialmente ao trabalhar com várias equipes ou parceiros externos.
Monitoramento perspicaz
Obtenha visibilidade sobre o uso dos tokens para entender melhor o tráfego da API e gerenciar os limites de taxa com eficácia.
Gerenciamento aprimorado de tokens
Crie, gerencie e revogue tokens facilmente sem interromper outras integrações.
#### Melhores práticas para criar tokens com escopo
Siga estas melhores práticas para garantir segurança, clareza e gerenciamento eficaz ao criar tokens com escopo:
Escolha apenas as APIs e os métodos de que você precisa
Defina os escopos selecionando apenas as APIs específicas e os métodos HTTP, como GET, POST, PUT, DELETE, que sua integração realmente exige. Se sua integração só precisar recuperar dados, conceda acesso à API usando apenas o método GET.
Aplique o princípio do menor privilégio
Sempre comece com o nível mínimo de acesso necessário e só adicione mais permissões se for absolutamente necessário. Evite habilitar os métodos POST, PUT ou DELETE, a menos que sua integração os exija explicitamente.
Use nomes e explicações descritivos
Dê a cada token um nome claro e significativo e inclua uma descrição detalhada. Isso ajuda sua equipe a gerenciar, entender e auditar o uso dos tokens com mais eficiência.
Atribua um contato técnico responsável
Certifique-se de que cada token tenha um contato técnico designado. Essa pessoa será responsável por receber atualizações importantes, alertas ou notificações relacionados ao acesso à API e ao desempenho da integração.
Selecione a versão correta da API
Certifique-se de que o token esteja alinhado com a versão da API que sua integração foi construída para usar. Isso ajuda a manter a compatibilidade e evita erros inesperados.
#### Monitore e gerencie tokens com escopo
Verifique o uso dos tokens regularmente
Crie o hábito de verificar como seus tokens estão sendo usados. Você pode fazer isso configurando um painel para acompanhar a atividade dos tokens ou solicitando detalhes de uso à impact.com. Além disso, observe erros frequentes na sua integração.
Evite conceder acesso demais
Tokens com mais permissões do que precisam podem ser perigosos se algum dia forem expostos. Para evitar isso, compare o que um token está autorizado a fazer com o que ele realmente está fazendo. Se ele tiver acesso de que não precisa, remova-o.
Gire os tokens com frequência
Altere as credenciais dos tokens regularmente para ajudar a manter seu sistema seguro. Tente atualizar seus tokens a cada poucos meses — uma vez por trimestre é uma boa regra. Quando criar um novo token, não se esqueça de atualizar suas integrações para usarem o novo.
Use nomes e descrições claros
Dê a cada token um nome e uma descrição que expliquem para que ele serve e quem é o proprietário. Inclua detalhes como o app ou sistema que o está usando, sua finalidade e se é para testes ou uso em produção. Além disso, atribua a uma pessoa da sua equipe o contato principal de cada token em caso de problemas.
Remova os tokens que você não usa
Tokens antigos ou não utilizados podem criar riscos de segurança. Planeje limpezas regulares — mensalmente ou trimestralmente — para revisar todos os tokens. Exclua ou desative quaisquer tokens que não sejam mais necessários.
#### Perguntas frequentes
As integrações existentes serão impactadas?
Não. As integrações existentes que usam tokens legados continuarão funcionando. No entanto, recomendamos fazer a transição para tokens de acesso à API com escopo para melhorar a segurança e o gerenciamento.
O que são tokens legados?
*Tokens legados* são um tipo mais antigo de token de acesso que precedeu *tokens com escopo*. Os tokens com escopo passaram a estar disponíveis no impact.com após maio de 2025.
Quais são as melhores práticas para manter os tokens seguros?
Saiba mais sobre [manter seus tokens de acesso seguros](https://help.impact.com/other/pt-br/readme/api-access-tokens-and-changelog/keep-your-access-tokens-secure).
Quantos tokens com escopo posso criar?
Cada conta pode ter até 20 tokens ativos com escopo. Os tokens podem ser desativados ou excluídos conforme necessário.
O que acontece quando um token é desativado?
Os tokens desativados terão o acesso negado, retornando uma resposta 403 "Access Denied". Isso permite uma suspensão temporária sem excluir o token.
É possível recuperar um token excluído?
Não, a funcionalidade de exclusão apaga permanentemente o token de acesso e quaisquer permissões atribuídas. Se você excluiu o token por engano, será possível criar um novo token e selecionar os escopos. As integrações existentes precisarão ser atualizadas para usar as novas credenciais do token de acesso.
Um token com escopo pode ter limite de taxa?
Sim, os tokens de acesso com escopo fazem parte do limite de taxa no nível da conta que já está em vigor.
Qual método de autenticação os tokens com escopo suportam?
Nossos tokens de acesso com escopo suportam apenas autenticação básica.
E se você usar um token inválido para acessar uma API?
Se você fizer uma solicitação a uma API sem um token de acesso com escopo válido, verá uma resposta 403 “Access Denied”.
