Skip to main content
Apps são contêineres para suas credenciais de API. Cada app tem suas próprias chaves, tokens e configurações.

Credenciais do app

Quando você cria um app, pode gerar estas credenciais:
CredencialCaso de uso
API Key e SecretAutentique-se com OAuth 1.0a. Usadas para assinar solicitações ou gerar tokens de usuário.
Access Token e SecretFaça solicitações em nome da sua própria conta (OAuth 1.0a).
Client ID e SecretAutentique-se com OAuth 2.0. Usadas para o fluxo de authorization code.
Bearer TokenAutenticação somente de app para endpoints de dados públicos.
Escolha OAuth 2.0 para novos projetos. Ele oferece escopos granulares e é necessário para endpoints user-context da X API v2.

Criando um app

1

Abra o Developer Console

Acesse console.x.com e faça login.
2

Clique em Create App

Insira um nome, descrição e caso de uso para seu app.
3

Gere as credenciais

Após a criação, gere as chaves e tokens necessários.
4

Armazene com segurança

Salve as credenciais imediatamente — elas são exibidas apenas uma vez.

Permissões do app (OAuth 1.0a)

Apps OAuth 1.0a têm três níveis de permissão:
  • Visualizar posts, usuários e dados públicos
  • Não pode publicar, curtir ou modificar nada
  • Não pode acessar Direct Messages
Alterar permissões exige que os usuários reautorizem seu app para obter novos tokens com o escopo atualizado.

Tipos de app OAuth 2.0

Ao configurar o OAuth 2.0, selecione o tipo do seu app:
TipoClienteCaso de uso
Web AppConfidencialAplicações do lado do servidor que podem armazenar segredos com segurança
App Automatizado / BotConfidencialBots e serviços automatizados executados em servidores
Native AppPúblicoApps mobile ou desktop que não conseguem proteger segredos
Single Page AppPúblicoApps JavaScript baseados em navegador
Clientes confidenciais recebem um Client Secret. Clientes públicos usam apenas PKCE.

Callback URLs

Callback URLs (redirect URIs) são necessárias para fluxos OAuth. Após um usuário autorizar seu app, ele é redirecionado para sua callback URL com um código de autorização.

Requisitos

  • Adicione as callback URLs à allowlist do seu app no Developer Console
  • As URLs devem corresponder exatamente (incluindo barras finais)
  • Máximo de 10 callback URLs por app
  • Use https:// em produção
  • Para desenvolvimento local, use http://127.0.0.1 (não localhost)

Protocolos não permitidos

Estes protocolos não podem ser usados: javascript, data, file, ftp, mailto, telnet e outros esquemas não padronizados.
vbscript, javascript, vbs, data, mocha, keyword, livescript, ftp, file, gopher, acrobat, callto, daap, itpc, itms, firefoxurl, hcp, ldap, mailto, mmst, mmsu, msbd, rtsp, mso-offdap, snews, news, nntp, outlook, stssync, rlogin, telnet, tn3270, shell, sip

Melhores práticas

Use apps separados

Crie apps diferentes para desenvolvimento, staging e produção.

Rotacione credenciais

Regenere chaves periodicamente e se suspeitar de comprometimento.

Permissões mínimas

Solicite apenas as permissões que seu app realmente precisa.

Monitore o uso

Verifique o Developer Console regularmente para acompanhar o uso da API.

Rótulos de conta automatizada

Se seu app executa uma conta de bot, você pode rotulá-la como automatizada:
  1. Acesse as Configurações da conta de bot
  2. Selecione Sua contaAutomação
  3. Vincule a conta gerenciadora
Isso aumenta a confiança dos usuários e distingue seu bot de spam.

Solução de problemas

Garanta que sua callback URL esteja exatamente como registrada no Developer Console, incluindo o protocolo e quaisquer barras finais. Faça HTTP-encode da URL ao passá-la como parâmetro de query.
{
  "errors": [{
    "code": 415,
    "message": "Callback URL not approved for this client application."
  }]
}
Se seu app aparecer como suspenso, verifique seu e-mail em busca de um aviso da equipe da plataforma X. Use o Platform Help Form para recorrer.