packages.suot.dev) requer autenticação para cada requisição de download de pacotes. Essa autenticação é feita por meio de tokens Composer — credenciais emitidas no SUOT Developer Platform e associadas à licença da sua organização. Este guia explica como gerar, usar e revogar tokens com segurança.
O que é um token Composer
Um token Composer é uma credencial que autoriza o Composer a baixar pacotes dopackages.suot.dev. Quando o Composer tenta resolver ou instalar pacotes suot/*, ele apresenta o token ao registry. O registry valida o token e verifica se a organização associada possui uma licença ativa para os pacotes solicitados.
O token em si não contém informações sensíveis sobre a empresa — ele é apenas uma chave de acesso. A associação com a licença da organização é mantida pelo SUOT Developer Platform.
Tipos de token
A SUOT distingue dois usos principais para tokens Composer:| Tipo | Uso recomendado |
|---|---|
| Token de desenvolvedor | Uso pessoal em máquinas locais. Cada desenvolvedor gera o seu próprio token. Deve ser rotacionado quando o desenvolvedor sai da organização. |
| Token de CI/CD | Uso em pipelines automatizados (GitHub Actions, GitLab CI, etc.). Deve ser um token dedicado, separado dos tokens pessoais, configurado como segredo na plataforma de CI. |
Gerar um token
Acesse o Developer Platform
Faça login em developers.suot.dev com a conta membro da organização para a qual deseja gerar o token.
Navegue até a seção de tokens
No painel da organização, localize a seção de tokens Composer. Você verá os tokens existentes (com datas de criação e última utilização) e a opção de criar um novo.
Crie o token
Selecione criar novo token. Dê um nome descritivo — por exemplo,
dev-joao-notebook ou ci-github-actions-producao. Um nome claro facilita identificar e revogar tokens específicos no futuro.Usar o token
Há duas formas de passar o token ao Composer: por variável de ambiente ou porauth.json. A variável de ambiente é recomendada para CI/CD e para ambientes onde você não quer persistir credenciais em disco.
Via variável de ambiente COMPOSER_AUTH (recomendado)
Defina a variável de ambiente COMPOSER_AUTH com um JSON contendo as credenciais no formato http-basic:
SEU_TOKEN_AQUI pelo token gerado no SUOT Developer Platform. Em pipelines de CI/CD, configure esse valor como variável de ambiente secreta na sua plataforma — nunca o escreva diretamente no arquivo de configuração do pipeline.
Via auth.json (uso local)
Para uso local em máquina de desenvolvimento, você pode criar um arquivoauth.json na raiz do projeto:
auth.json
.gitignore
auth.json global em ~/.composer/auth.json, que se aplica a todos os projetos da máquina. Use essa opção se preferir não ter um auth.json por projeto.
Segurança — resumo das práticas obrigatórias
Revogar tokens
Para revogar um token, acesse developers.suot.dev, navegue até a seção de tokens da organização e selecione a opção de revogação ao lado do token desejado. A revogação é imediata — o token deixa de funcionar para novas requisições ao registry instantaneamente. Recomenda-se revogar tokens quando:- Um desenvolvedor sai da organização
- Um token de CI/CD é substituído por um novo
- Há suspeita de exposição do token
- O token não é mais utilizado (boa higiene de credenciais)