Segurança
Validando secrets

Validando secrets

AWS Secret

Quando você tem um par de credenciais da AWS como AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY.

<p>As chamadas de API da AWS exigem uma assinatura digital no cabeçalho HTTP, o que torna difícil testar diretamente com ferramentas como <code>curl</code>. O AWS CLI já faz essa assinatura automaticamente para você, facilitando a validação.</p>

Você pode validar uma secret usando o seguinte comando:

AWS_ACCESS_KEY_ID=AKIA... \
AWS_SECRET_ACCESS_KEY=abc123... \
aws sts get-caller-identity

Se as credenciais forem válidas, você receberá uma resposta semelhante a esta:

{
    "UserId": "AROAEXAMPLEID:bot",
    "Account": "123456789012",
    "Arn": "arn:aws:sts::123456789012:assumed-role/MyRoleName/bot"
}

Se as credenciais estiverem inválidas ou expiradas, o CLI exibirá uma mensagem de erro informando o problema.

<p>💡 <strong>Dica</strong>: Se você também tiver uma <code>AWS_SESSION_TOKEN</code>, adicione-a como variável de ambiente:</p> <div class="hextra-code-block hx-relative hx-mt-6 first:hx-mt-0 hx-group/code"> <div><div class="highlight"><pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl"><span class="nv">AWS_SESSION_TOKEN</span><span class="o">=</span>... <span class="err">\</span></span></span></code></pre></div></div><div class="hextra-code-copy-btn-container hx-opacity-0 hx-transition group-hover/code:hx-opacity-100 hx-flex hx-gap-1 hx-absolute hx-m-[11px] hx-right-0 hx-top-0"> <button class="hextra-code-copy-btn hx-group/copybtn hx-transition-all active:hx-opacity-50 hx-bg-primary-700/5 hx-border hx-border-black/5 hx-text-gray-600 hover:hx-text-gray-900 hx-rounded-md hx-p-1.5 dark:hx-bg-primary-300/10 dark:hx-border-white/10 dark:hx-text-gray-400 dark:hover:hx-text-gray-50" title="Copy code" > <div class="copy-icon group-[.copied]/copybtn:hx-hidden hx-pointer-events-none hx-h-4 hx-w-4"></div> <div class="success-icon hx-hidden group-[.copied]/copybtn:hx-block hx-pointer-events-none hx-h-4 hx-w-4"></div> </button> </div> </div>

Assim, você consegue validar se a credencial é válida e qual identidade ela representa.

GitHub Token

Token de acesso pessoal do GitHub (Personal Access Token).

Validação com curl (forma mais simples e rápida)

curl com a flag -i, que mostra os headers da resposta — onde estão os escopos (permissões) do token no cabeçalho X-OAuth-Scopes.

curl -i -H "Authorization: Bearer ghp_seuTokenAqui" https://api.github.com/user

Se o token for válido, a resposta incluirá:

  • Um corpo com os dados do usuário autenticado.
  • Headers HTTP contendo o campo X-OAuth-Scopes, por exemplo:
HTTP/2 200
...
X-OAuth-Scopes: repo, read:org, user
...

Validação com GitHub CLI (gh)

Se você já tiver o GitHub CLI (gh) instalado, também pode usar a variável de ambiente GH_TOKEN e rodar:

GH_TOKEN=ghp_seuTokenAqui gh api -i /user