2026 OpenClaw 接入 Slack（Linux 云 VPS）：Bot Token、事件订阅、Callback URL 到网关——可复现搭建与分层 403 / 重放排障 FAQ

在 Linux 云 VPS 上跑 OpenClaw 网关并接入 Slack，生产路径通常是 Events API + HTTPS Request URL；Socket Mode 适合联调，但会占长连接、对出口稳定性更敏感。本文把「能复现」拆成三块：Bot Token 与最小权限、Event Subscriptions 与保存时的 URL 校验、Callback 反代到网关路径；再用分层思路解释 403 与 重放 / 重复投递，避免把反代问题误判成签名校验。VPS 侧密钥与出口拆分可对照 2026 短周期 AI 工具链试错与批突发：按天云 Mac 对比轻量 VPS——隔离、出口与密钥决策矩阵 FAQ；常驻入口与弹性峰值也可参考 2026年短周期峰值构建：GitHub Actions 自托管 macOS Runner 该用云 Mac 弹性池还是常驻节点？ 的「常驻 vs 突发」口径类比网关负载。

可复现搭建：Bot Token、权限与事件订阅

在 Slack API 控制台创建 App，记下 Signing Secret 与 Bot User OAuth Token（以 xoxb- 开头）。Scopes 按「能收消息、能发线程回复」为下限逐步加；多余 scope 会增加审计面。打开 Event Subscriptions 启用事件，把 Request URL 填成公网 HTTPS（例如 https://your.domain/openclaw/slack/events，具体路径以网关文档为准）。保存时 Slack 会发带 challenge 的校验请求：网关必须在毫秒级返回 challenge 原文，否则会一直红叉。

Callback URL → 网关：反代、路径与 TLS

常见拓扑是 Nginx/Caddy 终结 TLS，再把 /slack/ 或网关文档规定的前缀转发到本机回环上的网关端口。注意三点：仅暴露必要路径、保留原始 Host / X-Forwarded-*（若网关依赖）、HTTP/2 或缓冲 不要把校验 POST 吞掉。若网关只监听 127.0.0.1，反代 upstream 必须指向该地址，避免误绑 0.0.0.0 扩大暴露面；防火墙与回环绑定策略可与站内其它 OpenClaw Linux 最小暴露面手记对照自检。

# 本机探活：应返回 4xx/2xx 之一，而不是连接拒绝
curl -vkI https://your.domain/openclaw/slack/events

# 网关进程监听（示例）
ss -lntp | grep :18789

分层 403：先 TLS 与路径，再签名与时间窗

把 403 当成「层级漏斗」而不是单一错误码：L0 证书链不完整或 SNI 错误，Slack 侧直接无法完成握手；L1 反代返回 403（IP 限制、WAF、路径前缀不匹配）；L2 网关校验 X-Slack-Signature 与 Body 原文不一致（常见于缓冲改写、charset、或用了错误 Signing Secret）；L3 时间戳超出允许窗口（重放防护）导致应用层拒绝。每层用不同证据区分：边缘访问日志、反代 error_log、应用 debug 一行（勿在生产打印 Body）。

重放与重复投递 FAQ

Slack 可能因超时重试同一事件：若网关只做无状态处理，会出现重复回复。用 event_id（或组合 team_id + event_ts）做短时去重缓存即可。若你同时开了多条订阅或新旧 App 并行，先核对 哪个 App 的 Signing Secret 正在验签，避免「一条消息两次验签、两次 403」的假阳性。