Tokens com Escopo: Melhores Práticas

Tokens com escopo permitem acesso apenas ao necessário, reduzindo o risco caso as credenciais sejam comprometidas.

Defina permissões específicas para o que cada token pode fazer com APIs específicas.

Racionalize a supervisão de tokens, especialmente ao trabalhar com várias equipes ou parceiros externos.

Obtenha visibilidade sobre o uso dos tokens para entender melhor o tráfego da API e gerenciar limites de taxa de forma eficaz.

Crie, gerencie e revogue tokens facilmente sem interromper outras integrações.

Defina escopos selecionando apenas as APIs específicas e os métodos HTTP, como GET, POST, PUT, DELETE, que sua integração realmente necessita. Se sua integração só precisa recuperar dados, conceda acesso à API usando apenas o método GET.

Sempre comece com o nível mínimo de acesso necessário e adicione mais permissões somente se for absolutamente necessário. Evite habilitar os métodos POST, PUT ou DELETE, a menos que sua integração exija explicitamente.

Dê a cada token um nome claro e significativo, e inclua uma descrição detalhada. Isso ajuda sua equipe a gerenciar, entender e auditar o uso dos tokens de forma mais eficaz.

Certifique-se de que cada token tenha um contato técnico designado. Essa pessoa será responsável por receber atualizações importantes, alertas ou notificações relacionadas ao acesso à API e ao desempenho da integração.

Garanta que o token esteja alinhado com a versão da API que sua integração foi construída para usar. Isso ajuda a manter a compatibilidade e evita erros inesperados.

Crie o hábito de verificar como seus tokens estão sendo usados. Você pode fazer isso configurando um painel para rastrear a atividade dos tokens ou solicitando à impact.com detalhes de uso. Além disso, observe erros frequentes em sua integração.

Tokens que têm mais permissões do que precisam podem ser perigosos se forem expostos. Para evitar isso, compare o que um token está autorizado a fazer com o que ele realmente está fazendo. Se tiver acesso que não precisa, remova-o.

Altere as credenciais dos tokens regularmente para ajudar a manter seu sistema seguro. Tente atualizar seus tokens a cada poucos meses—uma vez por trimestre é uma boa regra. Quando você criar um novo token, certifique-se de atualizar suas integrações para usar o novo.

Dê a cada token um nome e uma descrição que expliquem para que o token serve e quem o possui. Inclua detalhes como o aplicativo ou sistema que o utiliza, seu propósito e se é para teste ou uso em produção. Além disso, atribua uma pessoa da sua equipe como contato principal para cada token em caso de problemas.

Tokens antigos ou não utilizados podem criar riscos de segurança. Planeje limpezas regulares—uma vez por mês ou por trimestre—para revisar todos os tokens. Exclua ou desative quaisquer tokens que não sejam mais necessários.

Não. Integrações existentes que usam tokens legados continuarão funcionando. No entanto, recomendamos migrar para tokens de acesso à API com escopo para melhorar a segurança e o gerenciamento.

Tokens legados são um tipo mais antigo de token de acesso que precedeu tokens com escopo. Tokens com escopo ficaram disponíveis no impact.com após maio de 2025.

Cada conta pode ter até 20 tokens com escopo ativos. Tokens podem ser desativados ou excluídos conforme necessário.

Tokens desativados terão o acesso negado, retornando uma resposta 403 "Acesso negado". Isso permite suspensão temporária sem excluir o token.

Se você fizer uma solicitação a uma API sem um token de acesso com escopo válido, verá uma resposta 403 "Acesso negado".

Não, a funcionalidade de exclusão remove permanentemente o token de acesso e quaisquer permissões atribuídas. Se você excluiu o token por engano, poderá criar um novo token e selecionar os escopos. Integrações existentes precisarão ser atualizadas para usar as novas credenciais do token de acesso.