Errores de autenticación de la API
Tu integración recibe 401 Unauthorized, 403 Forbidden o errores de autenticación opacos al llamar a las APIs de Dailybot. Los tokens expiran, los scopes se reducen y los headers deben coincidir con el esquema documentado. Toma los códigos de estado de forma literal: 401 significa que la credencial no se acepta; 403 significa que la credencial es válida pero no tiene permiso para hacer esa acción.
Comprobación rápida
- Header Authorization – Envía
Bearer <token>(o el esquema documentado) exactamente, sin comillas sueltas ni saltos de línea copiados desde el chat. - Reloj – Sincroniza la hora del servidor; la validación de JWT falla en sistemas desfasados.
- Antigüedad del token – Rota las API keys según un calendario y después de que alguien deja el equipo.
- Entorno – Confirma que apuntas a las URLs base de producción frente a las de staging de forma coherente con el token emitido para ese entorno.
- Codificación – Evita codificar dos veces los parámetros de consulta que llevan tokens en algunas rutas legacy poco frecuentes.
Causas comunes y soluciones
401: token inválido o expirado
Regenera la API key o el access token de OAuth en Dailybot, actualiza tu almacén de secretos y vuelve a desplegar el servicio consumidor. Si cacheas tokens, invalida la caché. Para los JWT, decodifícalos (sin confiar en claims sin verificar para decisiones de seguridad) para ver exp y confirmar que la lógica de renovación se ejecuta antes de la expiración. Los daemons de larga duración deberían refrescar ante un 401 una vez para evitar tormentas, y luego alertar si el refresco falla.
403: scope insuficiente
Un token válido puede carecer del scope para el endpoint que agregaste el último sprint. Revisa la referencia de la API en busca de los scopes requeridos, vuelve a autorizar si es OAuth, o crea una key con permisos más amplios si tu modelo de seguridad lo permite. El principio de mínimo privilegio es bueno, pero las keys demasiado restringidas hacen perder horas. Separa las integraciones de lectura y de escritura cuando sea posible.
Rotación de token sin actualización progresiva
Los despliegues blue/green a veces dejan pods antiguos con secretos antiguos. Asegúrate de que la recarga de configuración se propague a todas las instancias. En Kubernetes, reinicia los Deployments tras cambios en los Secret si tu chart no observa los cambios automáticamente.
Contexto de organización incorrecto
Las keys están ligadas a una organización. Golpear los resource IDs de otra organización con el token criptográfico correcto igualmente devuelve forbidden. Verifica los headers X-Org o los prefijos de ruta si la API los usa.
Cuenta de usuario revocada
Si el token pertenecía a un usuario desactivado en un flujo tipo OAuth, la autorización puede persistir un instante y luego fallar. Reinstala la integración con un patrón de cuenta de servicio o un usuario bot dedicado que tu política soporte.
Si nada de esto funcionó
Antes de contactar a soporte, reúne:
- Ruta del endpoint (sin secretos) y método HTTP
- Código de estado y mensaje del cuerpo de la respuesta (oculta los tokens)
- Hora aproximada de la petición con zona horaria
- Si el problema empezó tras un despliegue o una rotación de key
- Lenguaje/runtime de tu cliente
- Los pasos que ya probaste de este artículo
Luego contacta a soporte de Dailybot desde las opciones de Ayuda o Contacto en el producto o en el sitio web.