# Tokens com Escopo: Melhores Práticas

impact.com permite que você crie *tokens com escopo*: credenciais de API com permissões granulares, que concedem acesso a endpoints específicos da API. Saiba mais sobre [manter seus tokens seguros](/other/pt-br/readme/api-access-tokens-and-changelog/keep-your-access-tokens-secure.md).

<div data-with-frame="true"><figure><img src="/files/419284a28bf3d7e97da3a5cd8f9c2c02ddd703a9" alt=""><figcaption></figcaption></figure></div>

#### Benefícios dos tokens com escopo

<details>

<summary>Maior segurança</summary>

Os tokens com escopo permitem acesso apenas ao que é necessário, reduzindo o risco se as credenciais forem comprometidas.

</details>

<details>

<summary>Melhor controle de acesso</summary>

Defina permissões específicas para o que cada token pode fazer com APIs específicas.

</details>

<details>

<summary>Simplifique o gerenciamento</summary>

Agilize a supervisão dos tokens, especialmente ao trabalhar com várias equipes ou parceiros externos.

</details>

<details>

<summary>Monitoramento perspicaz</summary>

Obtenha visibilidade sobre o uso dos tokens para entender melhor o tráfego da API e gerenciar os limites de taxa com eficácia.

</details>

<details>

<summary>Gerenciamento aprimorado de tokens</summary>

Crie, gerencie e revogue tokens facilmente sem interromper outras integrações.

</details>

#### Melhores práticas para criar tokens com escopo

Siga estas melhores práticas para garantir segurança, clareza e gerenciamento eficaz ao criar tokens com escopo:

<details>

<summary>Escolha apenas as APIs e os métodos de que você precisa</summary>

Defina os escopos selecionando apenas as APIs específicas e os métodos HTTP, como GET, POST, PUT, DELETE, que sua integração realmente exige. Se sua integração só precisar recuperar dados, conceda acesso à API usando apenas o método GET.

</details>

<details>

<summary>Aplique o princípio do menor privilégio</summary>

Sempre comece com o nível mínimo de acesso necessário e só adicione mais permissões se for absolutamente necessário. Evite habilitar os métodos POST, PUT ou DELETE, a menos que sua integração os exija explicitamente.

</details>

<details>

<summary>Use nomes e explicações descritivos</summary>

Dê a cada token um nome claro e significativo e inclua uma descrição detalhada. Isso ajuda sua equipe a gerenciar, entender e auditar o uso dos tokens com mais eficiência.

</details>

<details>

<summary>Atribua um contato técnico responsável</summary>

Certifique-se de que cada token tenha um contato técnico designado. Essa pessoa será responsável por receber atualizações importantes, alertas ou notificações relacionados ao acesso à API e ao desempenho da integração.

</details>

<details>

<summary>Selecione a versão correta da API</summary>

Certifique-se de que o token esteja alinhado com a versão da API que sua integração foi construída para usar. Isso ajuda a manter a compatibilidade e evita erros inesperados.

</details>

#### Monitore e gerencie tokens com escopo

<details>

<summary>Verifique o uso dos tokens regularmente</summary>

Crie o hábito de verificar como seus tokens estão sendo usados. Você pode fazer isso configurando um painel para acompanhar a atividade dos tokens ou solicitando detalhes de uso à impact.com. Além disso, observe erros frequentes na sua integração.

</details>

<details>

<summary>Evite conceder acesso demais</summary>

Tokens com mais permissões do que precisam podem ser perigosos se algum dia forem expostos. Para evitar isso, compare o que um token está autorizado a fazer com o que ele realmente está fazendo. Se ele tiver acesso de que não precisa, remova-o.

</details>

<details>

<summary>Gire os tokens com frequência</summary>

Altere as credenciais dos tokens regularmente para ajudar a manter seu sistema seguro. Tente atualizar seus tokens a cada poucos meses — uma vez por trimestre é uma boa regra. Quando criar um novo token, não se esqueça de atualizar suas integrações para usarem o novo.

</details>

<details>

<summary>Use nomes e descrições claros</summary>

Dê a cada token um nome e uma descrição que expliquem para que ele serve e quem é o proprietário. Inclua detalhes como o app ou sistema que o está usando, sua finalidade e se é para testes ou uso em produção. Além disso, atribua a uma pessoa da sua equipe o contato principal de cada token em caso de problemas.

</details>

<details>

<summary>Remova os tokens que você não usa</summary>

Tokens antigos ou não utilizados podem criar riscos de segurança. Planeje limpezas regulares — mensalmente ou trimestralmente — para revisar todos os tokens. Exclua ou desative quaisquer tokens que não sejam mais necessários.

</details>

#### Perguntas frequentes

<details>

<summary>As integrações existentes serão impactadas?</summary>

Não. As integrações existentes que usam tokens legados continuarão funcionando. No entanto, recomendamos fazer a transição para tokens de acesso à API com escopo para melhorar a segurança e o gerenciamento.

</details>

<details>

<summary>O que são tokens legados?</summary>

*Tokens legados* são um tipo mais antigo de token de acesso que precedeu *tokens com escopo*. Os tokens com escopo passaram a estar disponíveis no impact.com após maio de 2025.

</details>

<details>

<summary>Quais são as melhores práticas para manter os tokens seguros?</summary>

Saiba mais sobre [manter seus tokens de acesso seguros](/other/pt-br/readme/api-access-tokens-and-changelog/keep-your-access-tokens-secure.md).

</details>

<details>

<summary>Quantos tokens com escopo posso criar?</summary>

Cada conta pode ter até 20 tokens ativos com escopo. Os tokens podem ser desativados ou excluídos conforme necessário.

</details>

<details>

<summary>O que acontece quando um token é desativado?</summary>

Os tokens desativados terão o acesso negado, retornando uma resposta 403 "Access Denied". Isso permite uma suspensão temporária sem excluir o token.

</details>

<details>

<summary>É possível recuperar um token excluído?</summary>

Não, a funcionalidade de exclusão apaga permanentemente o token de acesso e quaisquer permissões atribuídas. Se você excluiu o token por engano, será possível criar um novo token e selecionar os escopos. As integrações existentes precisarão ser atualizadas para usar as novas credenciais do token de acesso.

</details>

<details>

<summary>Um token com escopo pode ter limite de taxa?</summary>

Sim, os tokens de acesso com escopo fazem parte do limite de taxa no nível da conta que já está em vigor.

</details>

<details>

<summary>Qual método de autenticação os tokens com escopo suportam?</summary>

Nossos tokens de acesso com escopo suportam apenas autenticação básica.

</details>

<details>

<summary>E se você usar um token inválido para acessar uma API?</summary>

Se você fizer uma solicitação a uma API sem um token de acesso com escopo válido, verá uma resposta 403 “Access Denied”.

</details>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://help.impact.com/other/pt-br/readme/api-access-tokens-and-changelog/scoped-tokens-best-practices.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.