Erros de autenticação da API
Sua integração recebe 401 Unauthorized, 403 Forbidden ou erros de auth opacos ao chamar as APIs do Dailybot. Tokens expiram, escopos diminuem e os headers precisam corresponder ao esquema documentado. Trate os status codes de forma literal: 401 significa que a credencial não foi aceita; 403 significa que a credencial é válida, mas não tem permissão para realizar aquela ação.
Verificação rápida
- Header Authorization – Envie
Bearer <token>(ou o esquema documentado) exatamente, sem aspas perdidas ou quebras de linha copiadas do chat. - Relógio – Sincronize o horário do servidor; a validação de JWT falha em sistemas com desvio.
- Idade do token – Rotacione as API keys no cronograma e quando pessoas saírem do time.
- Ambiente – Confirme que você aponta para as URLs base de produção ou staging de forma consistente com o token emitido para aquele ambiente.
- Encoding – Evite codificar duas vezes os parâmetros de query que carregam tokens em raros caminhos legados.
Causas comuns e soluções
401: token inválido ou expirado
Regenere a API key ou o access token de OAuth no Dailybot, atualize o seu cofre de secrets e refaça o deploy do serviço consumidor. Se você faz cache de tokens, invalide o cache. Para JWTs, faça o decode (sem confiar em claims não verificadas para decisões de segurança) para ver o exp e confirmar que a lógica de renovação roda antes da expiração. Daemons de longa duração devem renovar uma vez em caso de 401 para evitar tempestades de requisições e, depois, alertar se a renovação falhar.
403: escopo insuficiente
Um token válido pode não ter o escopo do endpoint que você adicionou na última sprint. Revise a referência da API quanto aos escopos exigidos, reautorize se for baseado em OAuth ou crie uma key com permissões mais amplas, se o seu modelo de segurança permitir. O princípio do menor privilégio é bom, mas keys restritivas demais desperdiçam horas. Separe integrações de leitura e de escrita quando possível.
Rotação de token sem rolling update
Deploys blue/green às vezes deixam pods antigos retendo secrets antigos. Garanta que o recarregamento de configuração se propague para todas as instâncias. No Kubernetes, reinicie os Deployments após mudanças de Secret se o seu chart não fizer auto-watch.
Contexto de organização errado
As keys são vinculadas a uma organização. Acessar os IDs de recursos de outra org com o token criptográfico correto ainda retorna forbidden. Verifique os headers X-Org ou os prefixos de caminho, se a API os usar.
Conta de usuário revogada
Se o token pertencia a um usuário desativado em um fluxo no estilo OAuth, a autorização pode persistir por um breve período e depois falhar. Reinstale a integração com um padrão de service account ou um bot user dedicado que a sua política suporte.
Se nada disso funcionou
Antes de falar com o suporte, reúna:
- Caminho do endpoint (sem secrets) e método HTTP
- Status code e mensagem do corpo da resposta (oculte tokens)
- Horário aproximado da requisição com fuso horário
- Se o problema começou após um deploy ou rotação de key
- Linguagem/runtime do seu cliente
- Os passos que você já tentou neste artigo
Depois fale com o suporte do Dailybot pelas opções de Ajuda ou Contato no produto ou no site.