Se você conectou um aplicativo de terceiros, bot ou script automatizado à sua conta do Mastodon, um token de API foi gerado para conceder acesso a esse serviço. Com o tempo, você pode esquecer desses tokens, deixando sua conta exposta a possíveis usos indevidos se o aplicativo for comprometido ou abandonado. Revogar um token de API antigo corta imediatamente o acesso desse serviço, sem afetar sua senha ou outras conexões. Este artigo explica onde encontrar tokens ativos nas configurações da sua conta do Mastodon e como revogá-los um por um ou em massa.
Principais conclusões: Revogação de tokens de API do Mastodon
- Preferências > Conta > Aplicativos autorizados: Lista todos os aplicativos com token ativo, incluindo nome, escopo e data do último uso.
- Botão Revogar ao lado de cada aplicativo: Exclui o token imediatamente e bloqueia futuras chamadas de API desse serviço.
- Sem desfazer ou recuperação: Após revogado, o aplicativo precisa ser reautorizado do zero para obter um novo token.
Por que revogar tokens de API antigos é importante para sua conta do Mastodon
Toda vez que você autoriza um aplicativo de terceiros no Mastodon, o servidor emite um token OAuth. Esse token funciona como uma chave que permite ao aplicativo ler sua timeline, publicar em seu nome ou seguir contas, dependendo dos escopos que você aprovou. Diferente de uma senha, o token não expira a menos que você o revogue explicitamente ou altere sua senha.
Tokens antigos se acumulam quando você testa novos clientes, conecta ferramentas de automação ou concede acesso a aplicativos móveis que não usa mais. Se algum desses serviços sofrer uma violação de dados, o token pode ser usado para se passar por você. O Mastodon não notifica quando um token é usado, então a única maneira de se manter seguro é auditar e revogar periodicamente tokens não utilizados.
A página de Aplicativos autorizados nas configurações da sua conta mostra todos os tokens ativos. Cada entrada inclui o nome do aplicativo, as permissões concedidas e a última vez que fez uma chamada de API. Essas informações ajudam a decidir quais tokens são seguros para manter e quais devem ser revogados.
Passos para revogar um token de API antigo do Mastodon nas configurações da conta
O processo é idêntico em todas as instâncias do Mastodon, incluindo mastodon.social, mastodon.online e servidores auto-hospedados. Você precisa estar logado em sua conta em um navegador web. As configurações do aplicativo móvel não expõem a página de Aplicativos autorizados.
- Abra suas preferências do Mastodon
Clique no ícone de engrenagem ou na sua foto de perfil no canto superior direito da interface web. No menu suspenso, selecione Preferências. Isso abre a barra lateral de configurações no lado esquerdo da tela. - Navegue até a página de Aplicativos autorizados
Na barra lateral esquerda, role para baixo até a seção Conta. Clique em Aplicativos autorizados. Uma tabela aparece listando todos os aplicativos que possuem um token ativo para sua conta. - Revise a lista de aplicativos e suas permissões
Cada linha mostra o nome do aplicativo, os escopos de permissão concedidos (por exemplo, ler, escrever, seguir) e a última vez que o token foi usado. Se você não reconhecer um aplicativo ou não o usar mais, esse token é candidato à revogação. - Clique no botão Revogar para o aplicativo que deseja remover
Diretamente à direita de cada entrada de aplicativo, um botão vermelho rotulado Revogar está visível. Clique nele. Uma caixa de diálogo de confirmação aparece perguntando se você tem certeza. Clique em Sim, revogar para confirmar. - Verifique se o aplicativo foi removido da lista
Após a confirmação, a página recarrega e o aplicativo não aparece mais na tabela. O token agora é inválido. Qualquer chamada de API feita com esse token antigo retorna um erro 401 Não Autorizado.
Se você quiser revogar vários tokens, repita os passos 3 a 5 para cada aplicativo. Não há opção de revogação em massa, então você deve remover os tokens um de cada vez.
Problemas comuns ao revogar tokens de API no Mastodon
Botão Revogar está desabilitado ou ausente
Algumas instâncias auto-hospedadas do Mastodon restringem a página de Aplicativos autorizados apenas a administradores. Se você estiver em uma instância pessoal ou pequena, verifique com o administrador da instância. Em instâncias públicas padrão, todos os usuários podem revogar seus próprios tokens.
Aplicativo reaparece após a revogação
Se o aplicativo de terceiros ainda estiver em execução e tentar usar o token antigo, ele falhará. No entanto, alguns aplicativos solicitam automaticamente um novo token quando o antigo é rejeitado. Para evitar isso, remova o aplicativo do seu telefone ou computador primeiro e depois revogue o token. Caso contrário, o aplicativo pode se reautorizar silenciosamente.
Não consigo encontrar a página de Aplicativos autorizados
O caminho do menu difere ligeiramente em navegadores móveis. Use um navegador de desktop ou laptop para o layout completo das configurações. No celular, abra o menu hambúrguer, toque na sua foto de perfil, selecione Preferências, depois Conta e, finalmente, Aplicativos autorizados.
Configurações da conta do Mastodon: revogação manual de token vs alteração de senha
| Item | Revogar token via Aplicativos autorizados | Alterar senha |
|---|---|---|
| Efeito em aplicativos de terceiros | Apenas o aplicativo revogado perde acesso | Todos os aplicativos perdem acesso e precisam ser reautorizados |
| Facilidade de uso | Seletivo, um aplicativo de cada vez | Ação única revoga tudo |
| Segurança da conta | Permite manter aplicativos confiáveis ativos | Redefine todos os tokens, inclusive os legítimos |
| Recuperação do aplicativo revogado | O aplicativo deve ser autorizado novamente do zero | Todos os aplicativos devem ser autorizados novamente do zero |
Alterar sua senha é uma opção nuclear que invalida todos os tokens de uma vez. Use-a apenas se suspeitar que sua senha foi comprometida. Para limpeza de rotina, revogar tokens individuais pela página de Aplicativos autorizados é mais seguro e rápido.
Agora você pode auditar sua conta do Mastodon e remover quaisquer tokens de API que pertençam a aplicativos que não usa mais. Verifique a página de Aplicativos autorizados a cada poucos meses para manter sua conta limpa. Para segurança extra, ative a autenticação de dois fatores em Preferências > Conta > Autenticação de dois fatores, o que impede o uso indevido de tokens mesmo que um token vaze.