OAuth

OAuth (Open Authorization) é um protocolo padrão aberto que permite que aplicativos de terceiros acessem os dados de um usuário em outro serviço sem exigir que o usuário forneça sua senha. Em vez de compartilhar credenciais diretamente, o usuário se autentica com o serviço original (como Google ou Stripe) e concede ao aplicativo solicitante um token de acesso limitado. Esse token especifica exatamente o que o aplicativo pode fazer — ler uma planilha específica, escrever em uma pasta particular, processar pagamentos — e o usuário pode revogá-lo a qualquer momento. OAuth 2.0 é a versão atual utilizada por praticamente todos os principais serviços web, e é a base dos fluxos "Entrar com Google" e "Conectar sua conta" que agora são padrão na web.

Sem OAuth, conectar dois serviços exigiria compartilhar suas credenciais de login com o aplicativo de terceiros — um sério risco de segurança que daria a esse aplicativo acesso completo e irrestrito à sua conta. OAuth resolve isso criando um modelo de delegação controlada. O aplicativo de terceiros recebe apenas as permissões específicas que precisa, apenas pelo tempo que você permitir. Se o aplicativo for comprometido, os atacantes obtêm um token limitado em vez da sua senha. Para editores digitais que dependem de múltiplas ferramentas — plataformas de análise, serviços de [email marketing](/glossary/email-marketing), processadores de pagamento, integrações com planilhas — OAuth é o mecanismo que torna essas conexões seguras e gerenciáveis sem criar uma rede de senhas compartilhadas.

O FlipLink usa autorização baseada em OAuth ao se conectar a serviços de terceiros através do recurso de [automação e integrações](/features/automation-and-integrations). Quando você configura a [integração com Google Sheets](/integrations/google-sheets), por exemplo, é redirecionado para a tela de consentimento do Google, onde autoriza o FlipLink a escrever dados de leads em uma planilha específica. O FlipLink recebe um token de acesso com escopo limitado — pode escrever naquela planilha, mas não pode ler seus emails, acessar seus arquivos do Drive ou executar qualquer ação fora da permissão concedida. A [integração com Stripe](/integrations/stripe) funciona de forma semelhante: você autoriza o FlipLink a processar pagamentos em seu nome através do fluxo OAuth do Stripe, e o FlipLink nunca armazena ou vê sua senha do Stripe. Todos os tokens são armazenados de forma segura e podem ser revogados tanto pelo painel do FlipLink quanto pelas configurações do serviço de terceiros.

OAuth 2.0 define vários tipos de concessão, cada um adequado para um cenário de integração diferente: - **Authorization Code Grant**: O fluxo mais comum para aplicações do lado do servidor. O usuário é redirecionado para o servidor de autorização (ex: Google), concede permissão e recebe um código de autorização que o aplicativo troca por um token de acesso. Este é o fluxo que o FlipLink usa para as integrações com Google Sheets e Stripe. - **Client Credentials Grant**: Usado para comunicação servidor a servidor onde nenhuma interação do usuário é necessária. O aplicativo se autentica diretamente com suas próprias credenciais. - **Refresh Tokens**: Tokens de acesso são de curta duração por design (tipicamente 1 hora). Um refresh token permite que o aplicativo solicite um novo token de acesso sem exigir que o usuário reautorize. É por isso que suas integrações do FlipLink continuam funcionando sem você precisar reconectar todos os dias. Cada token carrega um escopo definido — um conjunto de permissões que limita o que o aplicativo pode fazer. Um token com escopo "spreadsheets.write" não pode ler emails ou acessar arquivos fora da planilha autorizada. Este princípio do menor privilégio é central no modelo de segurança do OAuth.

OAuth é seguro por design, mas sua segurança depende da implementação correta por todas as partes envolvidas: - **Armazenamento de tokens**: Tokens de acesso e refresh devem ser armazenados de forma segura no lado do servidor, nunca expostos em código do lado do cliente ou URLs. O FlipLink armazena todos os tokens de integração criptografados em seus servidores. - **Limitação de escopo**: Aplicativos devem solicitar apenas as permissões mínimas necessárias. O FlipLink solicita acesso de escrita a uma planilha específica, não acesso amplo à sua conta Google inteira. - **Revogação de tokens**: Usuários devem revisar periodicamente quais aplicativos têm acesso às suas contas. Tanto o Google quanto o Stripe fornecem painéis onde você pode ver e revogar aplicativos autorizados. - **Requisito [HTTPS](/glossary/https)**: Todos os fluxos OAuth devem ocorrer sobre HTTPS para prevenir a interceptação de tokens durante o processo de autorização. O FlipLink aplica HTTPS para todas as comunicações de API e callbacks de integração. - **Risco de phishing**: Atacantes às vezes criam telas de autorização falsas que imitam serviços legítimos. Sempre verifique se você está no domínio real do serviço (accounts.google.com, não goog1e-auth.com) antes de conceder permissões.

**O que acontece se eu revogar um token OAuth?** A integração para de funcionar imediatamente. Por exemplo, se você revogar o acesso do FlipLink ao seu Google Sheets nas configurações da sua conta Google, novos leads não serão mais sincronizados com a planilha. Você pode reconectar a qualquer momento reautorizando através do painel do FlipLink. **O FlipLink armazena minha senha do Google ou Stripe?** Não. OAuth é especificamente projetado para evitar o compartilhamento de senhas. O FlipLink recebe apenas um token de acesso com permissões limitadas. Suas senhas permanecem exclusivamente com o Google e o Stripe. **Posso limitar o que o FlipLink pode acessar na minha conta Google?** Sim. Durante o fluxo de autorização OAuth, a tela de consentimento mostra exatamente quais permissões o FlipLink está solicitando. O FlipLink solicita apenas o escopo mínimo necessário — tipicamente acesso de escrita a uma única planilha. Não pode acessar seu email, calendário ou outros serviços do Google.