Skip to content
Solução de problemasAdmin

Erros de autenticação da API

Erros de autenticação da API

Sua integração recebe 401 Unauthorized, 403 Forbidden ou erros de auth opacos ao chamar as APIs do Dailybot. Tokens expiram, escopos diminuem e os headers precisam corresponder ao esquema documentado. Trate os status codes de forma literal: 401 significa que a credencial não foi aceita; 403 significa que a credencial é válida, mas não tem permissão para realizar aquela ação.

Verificação rápida

  • Header Authorization – Envie Bearer <token> (ou o esquema documentado) exatamente, sem aspas perdidas ou quebras de linha copiadas do chat.
  • Relógio – Sincronize o horário do servidor; a validação de JWT falha em sistemas com desvio.
  • Idade do token – Rotacione as API keys no cronograma e quando pessoas saírem do time.
  • Ambiente – Confirme que você aponta para as URLs base de produção ou staging de forma consistente com o token emitido para aquele ambiente.
  • Encoding – Evite codificar duas vezes os parâmetros de query que carregam tokens em raros caminhos legados.

Causas comuns e soluções

401: token inválido ou expirado

Regenere a API key ou o access token de OAuth no Dailybot, atualize o seu cofre de secrets e refaça o deploy do serviço consumidor. Se você faz cache de tokens, invalide o cache. Para JWTs, faça o decode (sem confiar em claims não verificadas para decisões de segurança) para ver o exp e confirmar que a lógica de renovação roda antes da expiração. Daemons de longa duração devem renovar uma vez em caso de 401 para evitar tempestades de requisições e, depois, alertar se a renovação falhar.

403: escopo insuficiente

Um token válido pode não ter o escopo do endpoint que você adicionou na última sprint. Revise a referência da API quanto aos escopos exigidos, reautorize se for baseado em OAuth ou crie uma key com permissões mais amplas, se o seu modelo de segurança permitir. O princípio do menor privilégio é bom, mas keys restritivas demais desperdiçam horas. Separe integrações de leitura e de escrita quando possível.

Rotação de token sem rolling update

Deploys blue/green às vezes deixam pods antigos retendo secrets antigos. Garanta que o recarregamento de configuração se propague para todas as instâncias. No Kubernetes, reinicie os Deployments após mudanças de Secret se o seu chart não fizer auto-watch.

Contexto de organização errado

As keys são vinculadas a uma organização. Acessar os IDs de recursos de outra org com o token criptográfico correto ainda retorna forbidden. Verifique os headers X-Org ou os prefixos de caminho, se a API os usar.

Conta de usuário revogada

Se o token pertencia a um usuário desativado em um fluxo no estilo OAuth, a autorização pode persistir por um breve período e depois falhar. Reinstale a integração com um padrão de service account ou um bot user dedicado que a sua política suporte.

Se nada disso funcionou

Antes de falar com o suporte, reúna:

  • Caminho do endpoint (sem secrets) e método HTTP
  • Status code e mensagem do corpo da resposta (oculte tokens)
  • Horário aproximado da requisição com fuso horário
  • Se o problema começou após um deploy ou rotação de key
  • Linguagem/runtime do seu cliente
  • Os passos que você já tentou neste artigo

Depois fale com o suporte do Dailybot pelas opções de Ajuda ou Contato no produto ou no site.

Artigos relacionados