Skip to main content
Mais Social
GlossárioComeçar grátis
Glossário

OAuth

OAuth é o protocolo de autorização que permite que um aplicativo acesse sua conta em outro serviço sem você precisar entregar a senha. Quando você conecta o Mais Social ao seu Instagram, é OAuth funcionando: você autoriza acesso específico, com permissões limitadas, e pode revogar quando quiser.

O que é OAuth?

OAuth (Open Authorization) é o protocolo padrão da indústria para autorização. Permite que um aplicativo terceiro acesse sua conta em outro serviço sem que você precise compartilhar sua senha. Em vez disso, você concede permissões específicas e pode revogá-las a qualquer momento.

É o que faz funcionar:

  • "Entrar com Google" em sites de terceiros
  • Conectar Mais Social ao Instagram, TikTok, LinkedIn
  • Calendly acessando seu Google Calendar
  • Apps de mídia paga acessando Meta Ads Manager
  • Integrações Zapier

Versão atual

Hoje (2026) o padrão é OAuth 2.0. O 1.0 está deprecated. Praticamente todas as plataformas grandes usam 2.0 ou variantes (OIDC pra autenticação).

Como funciona — passo a passo

  1. Você clica em "Conectar Instagram" no Mais Social
  2. O Mais Social redireciona seu navegador pra https://api.instagram.com/oauth/authorize com parâmetros (client_id, scope, redirect_uri)
  3. Você faz login no Instagram (se ainda não estiver logado)
  4. Instagram mostra a tela "Mais Social está pedindo acesso a: [lista de permissões]. Autorizar?"
  5. Você clica em Autorizar
  6. Instagram redireciona de volta pro Mais Social com um code
  7. Mais Social troca esse code por um access_token (chamada server-side)
  8. Com o token, o Mais Social pode chamar a API do Instagram em seu nome

Conceitos centrais

  • Scopes (escopos): permissões específicas (ler posts, publicar, ler métricas, etc.)
  • Access token: chave temporária que prova autorização
  • Refresh token: token de longa duração pra renovar access tokens
  • Client ID e Client Secret: identificação do app autorizado
  • Redirect URI: URL onde o serviço devolve o usuário após autorização

Exemplo prático — scopes no Instagram

Quando o Mais Social pede autorização, o usuário vê algo como:

  • instagram_basic — ler perfil
  • instagram_content_publish — publicar posts em seu nome
  • instagram_manage_insights — ler métricas
  • pages_show_list — listar páginas do Facebook conectadas

O usuário entende exatamente o que está liberando. Se algum dia revogar acesso, basta ir nas "Aplicações conectadas" da rede e remover.

Boas práticas

  • Pedir só os escopos necessários (princípio de menor privilégio)
  • Armazenar tokens criptografados no banco
  • Renovar com refresh token automaticamente
  • Implementar logout / desconectar com revogação
  • PKCE em apps mobile e SPAs (mais seguro)

Erros comuns

  • Pedir todos os escopos disponíveis (usuário desconfia)
  • Não tratar token expirado (app quebra silenciosamente)
  • Salvar Client Secret no front-end (vazamento)
  • Não validar o state parameter (vulnerável a CSRF)
  • Não dar opção clara de desconectar

Pro usuário final, OAuth é invisível: clica em "Conectar Instagram", autoriza, pronto. Toda a complexidade fica no backend do Mais Social.

Termos relacionados

API Webhook Pixel do Facebook Conversão Algoritmo

Quer ver isso na prática?

Mais Social mostra todos os indicadores das suas contas em um lugar.

Testar 14 dias grátis
O que é OAuth? Autenticação segura explicada | Mais Social | Mais Social