A mensagem "Token inválido" aparece em qualquer fluxo que envolva autenticação por token. Esta página lista as causas em ordem de probabilidade e o caminho mais curto para corrigir.
Onde a mensagem aparece
- Plugin WooCommerce ao salvar configurações
- Aplicativo Shopify durante reautorização
- Painel ShopIA ao testar webhook manualmente
- Logs internos visíveis para super admin
O token padrão do ShopIA tem prefixo shk_ (Shopia Key) seguido de 32 caracteres alfanuméricos. Qualquer formato diferente disso é automaticamente rejeitado.
Causa 1: token incompleto
Mais comum. Ao copiar o token, parte dos caracteres ficou de fora.
Como verificar
Conte os caracteres do que você colou. O token completo tem 36 caracteres: shk_ (4) + 32 alfanuméricos. Se for menor ou maior, está incompleto ou corrompido.
Como resolver
- No painel, acesse Configurar > Conexões.
- Localize o token na sua loja.
- Use o ícone Copiar (não selecione manualmente — risco de perder caracteres).
- Cole no plugin ou serviço de destino.
- Salve.
Causa 2: espaços invisíveis
Copiar de PDFs, emails ou apps de mensagem pode trazer caracteres invisíveis (espaço não-quebrável , BOM ). Mesmo com formato visualmente correto, o sistema rejeita.
Como resolver
- Cole o token em um editor de texto puro (Notepad, TextEdit em modo plain).
- Apague qualquer espaço antes ou depois.
- Recopie e cole no destino.
Causa 3: token revogado
Tokens podem ser revogados em três situações:
- Você gerou novo token (o anterior é invalidado automaticamente)
- Mudança de plano que altera o conjunto de credenciais
- Rotação de segurança (manual ou automática após incidente)
Como verificar
No painel, acesse Configurar > Conexões > [plataforma]. O token mais recente é o único válido. Tokens anteriores aparecem com status Revogado.
Como resolver
Use sempre o token mais recente. Se precisar girar credenciais, gere novo e atualize todos os pontos de uso (plugin, integrações externas, scripts).
Causa 4: ambiente errado
Tokens de sandbox não funcionam em produção, e vice-versa. Cada ambiente tem seu próprio espaço de credenciais.
Como verificar
| Token começando com | Ambiente |
|---|---|
shk_prod_ | Produção |
shk_sand_ | Sandbox |
shk_ (sem prefixo de ambiente) | Produção (formato legado) |
Como resolver
Confirme o ambiente do plugin/serviço de destino. Use o token correspondente.
Causa 5: loja arquivada ou desativada
Lojas em status arquivada têm tokens automaticamente invalidados. Tentativas de uso retornam "Token inválido" mesmo com token tecnicamente correto.
Como resolver
- No painel admin, acesse Lojas.
- Localize sua loja e confirme o status.
- Se arquivada, restaure clicando em Reativar loja.
- Aguarde 1 minuto e tente novamente.
Causa 6: rotação automática por suspeita de vazamento
Em casos raros, o sistema detecta padrão suspeito de uso (mesmo token chamando de IPs muito distantes em curto intervalo, por exemplo) e revoga preventivamente. Essa medida visa proteger contra credencial vazada.
Como verificar
Banner de aviso aparece no painel: "Token revogado por segurança em [data]".
Como resolver
- Gere novo token.
- Atualize em todos os pontos legítimos.
- Se você não foi avisado e suspeita de comprometimento, contate o suporte para auditoria.
Causa 7: token de outra loja
Em multi-loja, é fácil confundir credenciais. Token gerado para loja A não funciona em plugin instalado em loja B.
Como verificar
No painel, troque para a loja correta antes de copiar o token. O seletor está no canto superior esquerdo.
Como resolver
Use o token da loja correspondente ao site WordPress/Shopify de destino.
E se nada funcionar
- Confirme que está em ambiente correto (produção vs sandbox).
- Gere token novo.
- Cole em editor texto puro para limpar caracteres invisíveis.
- Cole no destino final.
- Se ainda falhar, abra ticket com: domínio da loja, primeiros 8 caracteres do token (não envie completo), data e hora da tentativa.