Skip to content
Latchkey

O Que É um Token OAuth? Acesso Delegado Explicado

Um token OAuth é uma credencial emitida através do fluxo OAuth que concede a um cliente acesso com escopo e prazo limitado a uma API em nome de um usuário ou aplicação, sem compartilhar uma senha.

O OAuth permite que um app aja em nome de um usuário ou de si mesmo sem entregar credenciais brutas. O resultado é um token de acesso que carrega escopos específicos e uma expiração. Pipelines usam tokens OAuth para se autenticar em APIs com as quais fazem deploy, e problemas com tokens são uma fonte frequente de falhas 401.

Acesso delegado e com escopo

Em vez de compartilhar uma senha, o OAuth emite um token que concede apenas as permissões, chamadas escopos, que foram solicitadas. O token representa essa autoridade limitada perante a API.

Tokens de acesso e de refresh

  • Tokens de acesso têm vida curta e são enviados a cada requisição.
  • Refresh tokens obtêm novos tokens de acesso sem novo login.
  • Escopos limitam o que o token está autorizado a fazer.

Como é enviado

Um token de acesso OAuth geralmente é apresentado como um bearer token no cabeçalho Authorization. A API o valida e verifica seus escopos antes de permitir a chamada.

Tokens OAuth no CI/CD

Um pipeline armazena um token como um secret e o usa para chamar APIs de deploy e de plataforma. Tokens de vida curta gerados por execução são mais seguros do que os de vida longa que permanecem nos secrets.

Por que chamadas falham com 401 ou 403

Um token expirado retorna 401, e um token sem o escopo necessário retorna 403. Ambos são problemas de autenticação determinísticos, não oscilações de rede, então a correção é um token novo ou com escopo melhor.

Falhas transitórias versus de autenticação

Uma conexão interrompida ao apresentar um token válido é transitória e passível de retry; um 401 não é. Os runners da Latchkey fazem retry de falhas de transporte transitórias a endpoints comuns enquanto expõem erros de autenticação genuínos para que você renove o token.

Principais conclusões

  • Um token OAuth concede acesso com escopo e prazo limitado sem compartilhar uma senha.
  • Tokens de acesso têm vida curta e são enviados como bearer tokens; refresh tokens os renovam.
  • Um 401 ou 403 é um problema de autenticação determinístico, não uma oscilação passível de retry.

Guias relacionados