Módulo 1.5 · OAuth vs API Key

🔘 O que é OAuth

No OAuth, abre o navegador, você faz login e clica "Allow". A conexão fica pronta — sem manusear nenhuma chave. É o método mais simples e seguro quando disponível.

Abre o navegador

O Hermes te leva à página do provedor.

Faz login e clica "Allow"

Você autoriza o acesso com a sua conta.

Conexão pronta

Sem chave nenhuma para guardar; dá para revogar quando quiser.

🗝️ O que é API Key

Uma API key é uma string de caracteres que vive num servidor e dá acesso a todos os modelos do provedor. É a forma usada quando não há OAuth.

Como uma API key se parece (ilustrativo)

sk-or-v1-3f9a...   ← string secreta, vive no servidor
# dá acesso a todos os modelos do provedor
# fonte de modelos para comparar: openrouter.ai/models

📊 Características

•É uma string secreta — trate como senha
•Dá acesso amplo aos modelos do provedor
•Vive num servidor, não no seu navegador

🔁 Rotacionar chaves

Você pode rotacionar a API key a qualquer momento. Ao rotacionar, a chave antiga nunca mais funciona — é a sua defesa se uma chave vazar.

✓ Quando rotacionar

✓Suspeita de vazamento
✓Colou a chave por engano em algum lugar
✓Rotina periódica de segurança

✗ O que NÃO esquecer

✗A chave antiga para de funcionar na hora
✗Atualize onde a chave estava em uso
✗Nunca cole a chave no chat (Trilha 2/3)

🧭 Quem usa o quê

Nem todo provedor oferece OAuth. Grok e ChatGPT conectam via OAuth; o Claude NÃO oferece OAuth — só via API key.

🔘 Via OAuth

•Grok
•ChatGPT

🗝️ Via API Key

•Claude (não dá OAuth)
•OpenRouter e a maioria dos demais

Evita frustração: não procure um botão de OAuth para o Claude — ele simplesmente não existe. Use API key.

⚙️ homes setup: o fluxo no terminal

Na prática, os dois métodos se encontram no comando homes setup: você escolhe o provider e então faz OAuth (reauthenticate) ou cola a API key.

Fluxo ilustrativo

$ homes setup
? Escolha o provider:  > OpenRouter / OpenAI / xAI / Anthropic ...
? Método:              > OAuth (reauthenticate)  |  Colar API key
# OAuth  -> abre o navegador, login, Allow
# API key -> cola a string (ex.: de openrouter.ai/models)

💡 Dica prática

Quando der "reauthenticate", é só refazer o OAuth — login e Allow de novo. Não há chave para procurar.

⚖️ A analogia da chave

A imagem que fixa tudo: OAuth é o botão que você pega de volta a qualquer momento; a API key é uma chave que precisa ser guardada e pode ser rotacionada.

🔘 OAuth = botão

✓Nada para guardar
✓Você "desliga" a permissão quando quiser
✓Mais conveniente

🗝️ API key = chave

•Precisa ser guardada com cuidado
•Pode ser rotacionada (a antiga morre)
•Mais controle, mais responsabilidade

Resumo: conveniência vs controle. Os dois funcionam; escolha conforme o que o provedor oferece.

🛡️ Erros de segurança comuns

Conectar modelos envolve credenciais. Os erros mais frequentes têm a ver com como você guarda (ou não) a sua chave.

✓ Faça

✓Prefira OAuth quando o provedor oferece
✓Guarde a API key fora do chat (Trilha 2/3)
✓Rotacione ao menor sinal de vazamento

✗ Nunca

✗Colar a API key no chat (tudo é indexado)
✗Reutilizar a mesma key em vários lugares sem controle
✗Procurar OAuth onde ele não existe (ex.: Claude)

Resumo de bolso (ilustrativo)

OAuth   = botão (login + Allow)   -> revogável, nada para guardar
API key = chave (sk-xxxx no server) -> rotacionável, guarde fora do chat

📌 Resumo do Módulo

✓

OAuth — login no navegador + Allow; sem chave; revogável.

✓

API key — string secreta no servidor; acesso amplo aos modelos.

✓

Rotação — rotacionou, a chave antiga morre.

✓

Quem usa o quê — Grok/ChatGPT: OAuth; Claude: só API key.

✓

homes setup — escolhe provider, OAuth ou cola a key.

Próximo Módulo:

1.6 — Escolhendo o Modelo

← Voltar para Trilha Próximo Módulo →