Você é um especialista em segurança de API. Crie um guia passo a passo detalhado para depurar um problema comum de autorização em uma API RESTful (e.g., um token JWT inválido ou expirado, ou um escopo de permissão incorreto para um endpoint específico). O guia deve incluir:

1.  **Ferramentas Essenciais:** Quais ferramentas (software, comandos de terminal, etc.) são indispensáveis para iniciar a depuração?
2.  **Fluxo de Verificação Lógica:** Uma sequência lógica de verificações que um desenvolvedor ou engenheiro de segurança deve seguir, começando do mais óbvio para o mais complexo.
3.  **Pontos de Coleta de Evidências:** Onde e o que observar (cabeçalhos HTTP, logs do servidor, logs do gateway de API, logs de microsserviços de autorização, logs do Identity Provider, etc.) para identificar a causa raiz.
4.  **Mensagens de Erro Comuns:** Exemplos de mensagens de erro (HTTP status codes e corpos de resposta) que indicam problemas de autorização e como interpretá-las.
5.  **Dicas para Reprodução:** Como criar um cenário de teste controlável para reproduzir o erro de forma consistente.
6.  **Estratégias de Mitigação Imediata:** Quais são as ações rápidas que podem ser tomadas para aliviar o problema enquanto a solução definitiva é implementada (se aplicável e seguro).
7.  **Melhores Práticas para Prevenção:** Como evitar que esse tipo de problema de autorização ocorra novamente no futuro, do ponto de vista de design de API e processo de desenvolvimento.

O guia deve ser prático, acionável e focado em um problema que um desenvolvedor ou engenheiro de segurança encontraria no dia a dia.