Авторизация и права доступа
Аутентификация отвечает на вопрос «кто выполняет запрос». Авторизация отвечает на вопрос «что этому пользователю разрешено сделать».
В API HRlink результат запроса зависит от пользователя, от имени которого выполняется запрос:
- при
User-Api-Token— от пользователя, который выпустил токен; - при
Master-Api-Token— от пользователя из заголовковImpersonated-User-IdиImpersonated-User-Id-Type.
Что проверить перед запросом
| Что проверить | Где читать |
|---|---|
Пользователь относится к нужному clientId | Модель данных |
| У пользователя есть роль в нужном юрлице | Роли и права доступа |
Метод требует permissionContext | Роли и права доступа |
| Интеграция работает от имени правильного пользователя | Заголовки impersonation |
Типичные симптомы
| Симптом | Возможная причина |
|---|---|
401 Unauthorized | Нет токена, токен истёк или не переданы заголовки impersonationImpersonation Выполнение API-запросов от имени другого пользователя при использовании мастер-токена. Пользователь указывается через заголовки Impersonated-User-Id и Impersonated-User-Id-Type. |
403 Forbidden | Пользователь найден, но у него нет права на операцию |
| Метод возвращает меньше данных, чем ожидается | Права пользователя ограничивают видимость сотрудников, юрлиц, отделов или документов |
Метод со справочником возвращает ошибку 13.5353 | Не передан обязательный permissionContext |
Подробная модель ролей, прав и permissionContext описана в разделе Роли и права доступа.