Infraestrutura · Meta

O token Meta que nunca expira

Guia de como a Sirius criou um token de acesso ao Meta (Facebook/Instagram) que não expira nunca e já vem com todas as permissões. É a fundação do nosso ecossistema próprio: gestão de anúncios pelas skills, e no futuro o planejador social publicando direto no Instagram.

Guia técnico, de admin. Quem opera é o Thiago ou o Álvaro. Feito em 03/06/2026, registrando exatamente o que funcionou (e os muros que a gente bateu pra chegar lá).

O problema que isso resolve

O token velho era um token de usuário (preso na conta pessoal do Álvaro). Tinha dois defeitos crônicos:

A cada ~90 dias o Meta cortava o acesso e alguém precisava regerar.
Toda vez que regerava, só marcava as caixinhas de anúncio e esquecia o Instagram. Resultado: nunca dava pra publicar no IG por API.

A solução é trocar o tipo de token: de token de usuário para token de usuário do sistema (system user).

	Token de usuário (antigo)	Token de system user (novo)
Preso a quê	conta pessoal de alguém	ninguém — vive no Portfólio Empresarial
Expira	corta acesso a cada ~90 dias	nunca
Permissões	caíam a cada regeração	fixas, não dependem de regerar

Conceitos rápidos (pra não decorar, entender)

Portfólio Empresarial / BM — o "Business Manager", a conta-mãe da empresa no Meta. O nosso é o "Sirius Pet Vet Hub" (ID 104259242738344).
App — um aplicativo registrado no developers.facebook.com. É quem "emite" os tokens. O nosso é o siriuspetvethub.
Usuário do sistema (system user) — um "robô" que vive dentro do BM. Ele não loga, não tem senha; só serve pra gerar token e operar os ativos que você atribuir a ele.
Ativo — uma conta de anúncio, uma página do Facebook, uma conta do Instagram. O system user só mexe nos ativos que foram atribuídos a ele.
Compartilhamento de parceiro (partner share) — quando uma conta de anúncio mora no BM de outro cliente, o BM do cliente "empresta" essa conta pro BM da Sirius. É o que faz um token só alcançar a carteira inteira.

Parte 1 — Criar o app dentro do BM

O app precisa ser do tipo Empresa (Business) e nascer dentro do BM da Sirius. Se você criar um app fora e tentar "reivindicar" depois, o Meta dá erro genérico (foi o primeiro muro que a gente bateu — o app antigo era tipo "Nenhum", não dá pra reivindicar).

No Business Settings do BM Sirius → Contas → Apps → Adicionar → Criar um app (isso já vincula o app ao BM).
Tipo do app: Empresa / Business.
Dá um nome (cosmético, dá pra mudar depois). O nosso: siriuspetvethub.

Parte 2 — Ligar os casos de uso

Os casos de uso são o que libera cada grupo de permissão na hora de gerar o token. Sem eles, a lista de permissões vem capada. Marca estes 4:

Caso de uso	Pra quê
Criar e gerenciar anúncios com a API de Marketing	gestão de campanhas
Capturar e gerenciar leads de anúncios	puxar leads de formulário
Gerenciar mensagens e conteúdo no Instagram	publicar no IG (planejador social)
Gerenciar tudo na sua Página	publicar na página FB + insights

Não marca: anúncios de app/install, Threads, Audience Network, Catálogo, Messenger, WhatsApp, oEmbed. Não é nosso e só polui.

Não precisa publicar o app (deixa em "Não publicado"). Publicar serve pra quando usuários externos logam no app — não é o nosso caso, a gente usa token de system user sobre ativos do próprio BM, e isso funciona em modo de desenvolvimento.

Parte 3 — Verificação do negócio

No Centro de Contas / Verificações, dispara a verificação do negócio do BM. É a etapa de latência (leva dias, do lado do Meta). Os anúncios não dependem dela, mas publicar no Instagram em produção depende. Quanto antes apertar o botão, antes destrava.

Parte 4 — Criar o system user e gerar o token

Em Business Settings → Usuários → Usuários do sistema:

Adicionar → nome (ex: siriusadscontent) → função.

Muro que a gente bateu: negócio não-verificado só deixa 1 system user Admin, e esse slot já era de outro robô. Solução: cria como Funcionário (Employee). Não muda nada — o que dá poder ao robô não é o papel, são os ativos atribuídos.

Atribuir ativos → adiciona a conta de anúncio, a página e a conta do Instagram da Sirius, cada uma com Controle total.
Gerar token → escolhe o app siriuspetvethub → deixa em "o token nunca expira" → marca as permissões (lista abaixo) → Gerar.

As permissões pra marcar

Anúncios:   ads_management · ads_read · leads_retrieval
Negócio:    business_management
Páginas:    pages_show_list · pages_read_engagement · pages_manage_ads
            pages_manage_posts · pages_manage_metadata · read_insights
Instagram:  instagram_basic · instagram_content_publish · instagram_manage_comments

O token aparece UMA vez só. Copia na hora e guarda antes de fechar o diálogo. Se fechar sem copiar, tem que anular e gerar de novo.

Se instagram_content_publish vier cinza/indisponível, é a verificação que ainda não passou. Marca o resto e gera assim mesmo — o token de anúncios fica completo, e o IG religa depois sem refazer nada.

Onde o token fica guardado

O token e o segredo do app são sensíveis — nunca vão pro repositório. Ficam só na máquina, em arquivos fora do git:

~/.config/sirius/meta-siriuspetvethub.env — backup do token + App ID + Secret.
~/.claude/skills/meta-ads-ratos/.env — onde a skill lê (campo META_ADS_TOKEN).

Parte 5 — Cobrir as contas de cliente (partner share)

O token recém-criado só enxerga os ativos da Sirius. As contas de cliente moram em BMs próprios. Pra um token só alcançar a carteira inteira, cada BM de cliente precisa compartilhar a conta com o BM da Sirius. Como o Álvaro é admin dos dois lados, ele aprova sozinho.

Não dá por API. A gente tentou automatizar e o Meta recusa (o app não tem a "capability" pra isso). É manual, no painel, mas é rápido.

Parte A — no BM do CLIENTE (compartilha pra fora):

Troca pro BM do cliente no Business Settings.
Usuários → Parceiros → Adicionar → "Compartilhar ativos com outra empresa pelo ID do parceiro".
Insere o ID do BM Sirius: 104259242738344.
Seleciona a conta de anúncio do cliente → Controle total → confirma.

Parte B — no BM SIRIUS (atribui ao robô):

Volta pro Sirius Pet Vet Hub → Usuários do sistema → o robô → Atribuir ativos.
A conta recém-compartilhada aparece em Contas de anúncio → marca → Controle total → salva.

Repete pra cada cliente. Pra publicar conteúdo do cliente também (planejador social), compartilha igual a página e o Instagram dele, não só a conta de anúncio.

Parte 6 — Validar e ligar na skill

Antes de confiar no token, confirma ao vivo que ele enxerga as contas. Com a skill meta-ads-ratos instalada:

cd ~/.claude/skills/meta-ads-ratos
.venv/bin/python scripts/read.py accounts

Tem que listar as contas (Sirius + clientes compartilhados). Aí é só colar o token novo no META_ADS_TOKEN do .env da skill, junto com o META_APP_ID e META_APP_SECRET do app novo. O token antigo fica comentado como emergência.

Pronto. O token não tem mais prazo de validade, e as permissões não dependem de ninguém regerar. A dor acabou.

Se der ruim (os muros que a gente pagou)

"Problema técnico inesperado" ao adicionar o app no BM: o app é do tipo errado (não-Business) e não pode ser reivindicado. Crie um app novo do tipo Empresa direto dentro do BM.
Erro de "capability" ao criar system user ou compartilhar conta por API: o app não tem essa permissão de API. Faça no painel (Business Settings), não por código.
"Número máximo de usuários administradores é 1": negócio não-verificado. Cria o system user como Funcionário, não Admin.
Instagram não publica em produção: falta a verificação do negócio concluir. O escopo já está no token; é só esperar o Meta aprovar.
O token não enxerga um cliente: faltou a Parte 5 (partner share) pra aquele cliente, ou faltou atribuir ao robô na Parte B.

Quando refazer este guia

Entrou cliente novo → faz só a Parte 5 (compartilha a conta dele).
Token foi anulado por engano → Parte 4, passo "Gerar token" de novo (os ativos continuam atribuídos).
Quer um token separado pra outro módulo (ex: disparo) → cria outro system user, mesma lógica.