Skip to content
Latchkey

O Que É um Bearer Token? Quem o Porta, Entra

Um bearer token é uma credencial em que simplesmente possuí-la concede acesso, apresentada no cabeçalho HTTP Authorization para que o servidor confie em quem o porta.

O nome diz tudo: quem porta o token pode usá-lo. Não há prova adicional de identidade, então o próprio token precisa ser mantido em segredo em trânsito e em repouso. Pipelines anexam bearer tokens a chamadas de API constantemente, o que torna importantes a prevenção de vazamentos e os tempos de vida curtos.

Posse é acesso

Um bearer token não requer nenhuma credencial adicional. Se você conseguir apresentá-lo, o servidor concede o acesso que ele representa, o que é conveniente, mas significa que um token vazado é imediatamente utilizável por qualquer pessoa.

Como é apresentado

O token vai no cabeçalho Authorization como "Bearer <token>". O servidor o valida e autoriza a requisição com base no que o token representa.

Por que o sigilo importa

  • Sempre envie bearer tokens apenas por HTTPS.
  • Nunca os registre em log nem os imprima na saída do CI.
  • Prefira tempos de vida curtos para limitar o dano de vazamentos.

Bearer tokens no CI/CD

Pipelines armazenam tokens como secrets mascarados e os anexam a chamadas de deploy e de API. As plataformas de CI mascaram valores de secrets conhecidos nos logs, mas um token impresso por acidente ainda pode vazar, então o manuseio é cuidadoso.

Vida curta é mais seguro

Gerar um token novo e de vida curta por execução, em vez de reutilizar um de vida longa, limita a janela em que um token exposto é útil. Fluxos baseados em OIDC tornam isso prático para o CI.

Erros de autenticação não são oscilações

Um 401 de um bearer token expirado ou incorreto falha da mesma forma toda execução, então não é passível de retry. Os runners da Latchkey fazem retry de falhas de transporte transitórias a endpoints comuns, mas expõem 401s genuínos para que você atualize o token.

Principais conclusões

  • Um bearer token concede acesso a quem o apresenta, sem prova adicional.
  • Ele precisa trafegar apenas por HTTPS e nunca aparecer em logs.
  • Tokens de vida curta limitam o dano se um vazar; um 401 não é passível de retry.

Guias relacionados