A Saga do Token Fantasma: Um Conto de N-ésimas Tentativas e Uma Única Linha Vilã
Um desabafo, em algum lugar nas profundezas de um docker-compose.yml, numa noite de quinta-feira.
Tudo começou, como sempre, com uma tarefa que parecia simples. "Vou só gerar um token de API programaticamente", eu disse para mim mesmo, com a inocência de quem nunca passou um dia inteiro caçando um bug que desafia as leis da física e da computação. O primeiro erro surgiu, desdenhoso e familiar: Unauthenticated.
Ok", pensei. "Coisa de 15 minutos". Mal sabia que estava prestes a entrar na Masmorra do Debug Nível 99.
Ato I: Os Suspeitos de Sempre
Como em todo bom filme de mistério, comecei pelos suspeitos óbvios.
- O Mensageiro Culpado (Insomnia): "Será que eu errei o header Authorization: Bearer ?". Verifiquei, reverifiquei, copiei e colei com a precisão de um cirurgião. Não era isso.
- O Porteiro Distraído (Nginx): "Ah, clássico!", exclamei para a tela. "O Nginx deve estar barrando o header!". Corri para o
.conf, adicioneifastcgi_param HTTP_AUTHORIZATION $http_authorization;, reiniciei o contêiner e... nada. O fantasma doUnauthenticatedcontinuava a me assombrar.
A confiança dos 15 minutos já havia evaporado. Eu estava oficialmente em território hostil.
Ato II: A Inquisição do Laravel Passport
Se o problema não era o ambiente, só podia ser a aplicação. Mergulhei de cabeça no ecossistema do Passport, e a lista de interrogatórios foi longa:
- Os
oauth_clientsestão corretos? Sim. - O
AuthServiceProviderestá registrandoPassport::routes()? Sim. - O model
Userestá usando o traitHasApiTokens? Sim. - Será que o token foi gerado com
scopeserrados? Não. - O cliente está
revoked? Não.
Cada verificação era um beco sem saída. Tudo parecia perfeito. Foi então que o mistério se aprofundou: o código funcionava no Tinker!
Um token gerado via sail artisan tinker funcionava como um encanto. Mas o mesmo código, '$user->createToken()', executado em um controller, produzia um token amaldiçoado que era sumariamente rejeitado. Era o Gato de Schrödinger do código: o token era válido e inválido ao mesmo tempo, dependendo de onde eu olhava.
Ato III: A Falsa Pista e o Efeito Borboleta
Minha atenção se voltou para uma linha no docker-compose.yml: php artisan passport:keys --force. "É ISSO!", gritei. "O contêiner reinicia e gera novas chaves, invalidando o token!". Era uma teoria linda, elegante, que explicava o ciclo de "funciona e depois para de funcionar". Passei um tempo precioso garantindo que essa linha fosse removida, que o ambiente fosse recriado do zero. E... nada. O fantasma persistia.
Eu estava à beira da loucura. Em um momento de genialidade nascido do mais puro desespero, fiz o teste definitivo: criei dois métodos idênticos no mesmo controller. A única diferença? Um deles injetava uma dependência, um UseCase que parecia totalmente inocente.
O token gerado pelo método sem a injeção, funcionava.
O token gerado pelo método com a injeção, falhava.
O holofote do meu interrogatório virou-se bruscamente. O assassino não estava na cena do crime (o auth:api), mas estava na sala o tempo todo, disfarçado de um convidado respeitável: RegisterUseCase. Mas como? A classe parecia limpa. Então, olhei para as suas dependências. E lá estava ele.
Ato Final: O Vilão no Construtor
No fundo da cadeia de dependências, em uma classe chamada DBTransaction, escondia-se o vilão. Uma única linha, em um lugar onde nunca deveria estar: o construtor.
public function __construct()
{
DB::beginTransaction(); // A linha que me custou um dia.
}
Essa singela linha era o gatilho do efeito borboleta. Ao injetar o UseCase, o Laravel criava a DBTransaction, que por sua vez iniciava uma transação de banco de dados para toda a requisição HTTP. Quando o $user->createToken() salvava o novo token na tabela oauth_access_tokens, a operação acontecia dentro dessa transação.
E aqui está o detalhe que torna a história mais cruel e diabólica: o token foi, de fato, criado. Ele existiu, por alguns milissegundos, na memória da transação daquela requisição(GET VIA ELOQUENT). A aplicação, em seu próprio mundinho isolado, acreditava que o token estava salvo. Mas para o resto do banco de dados, era um fantasma que ninguém de fora podia ver.
Mas, como o método commit() nunca era chamado naquele fluxo, no final da requisição, o Laravel, como um bom zelador, via aquela transação aberta e não finalizada e, como medida de segurança, executava um ROLLBACK automático.
E, como um fantasma ao amanhecer, o registro do token simplesmente desaparecia.
Eu tinha em mãos um token JWT criptograficamente perfeito, mas que, para o banco de dados, era um espectro. Um órfão digital cujo registro de nascimento havia sido apagado dos anais da história.
A Moral da Minha Saga
Se uma simples linha pode te fazer perder um dia inteiro, qual a lição?
- Nenhum Código é uma Ilha: O bug que se manifesta em um lugar pode ter sua origem em um lugar completamente diferente e aparentemente não relacionado.
- Cuidado com Efeitos Colaterais: Construtores devem construir, não agir. Iniciar transações ou mudar configurações globais dentro de um __construct que será usado por injeção de dependência é pedir por problemas fantasmagóricos.
- O Poder do Isolamento: O teste que finalmente revelou o culpado foi aquele que isolou o problema ao máximo. Quando estiver perdido, simplifique e isole. É a melhor forma de encurralar um bug.
- O Debugger é Meu Pastor, Informação Não me Faltará: Cada ferramenta nos deu uma pista.Sempre use debuger no seu dia a dia .
- O Poder do Isolamento: O teste que finalmente revelou o culpado foi aquele que isolou o problema ao máximo. Quando estiver perdido, simplifique e isole. É a melhor forma de encurralar um bug.
Então, nobre colega dev, da próxima vez que você se deparar com um erro Unauthenticated que desafia a razão, lembre-se da Saga do Token Fantasma. Respire fundo, pegue seu café e comece a investigar os lugares mais inesperados. O vilão pode ser mais sutil do que você imagina. ✨