Skip to main content
Alguns endpoints exigem permissões específicas para serem acessados. Caso o usuário autenticado não possua a permissão necessária, a API retorna HTTP 403.
{
  "statusCode": 403,
  "error": "Forbidden",
  "message": "iam_not_authorized_to_perform_this_action"
}

Como as permissões são avaliadas

  • Permissões seguem o padrão {ação}:{recurso} (ex: read:order, write:vehicle).
  • Um endpoint pode exigir uma ou mais permissões — por padrão basta possuir uma delas; alguns endpoints exigem todas.
  • Endpoints de um projeto exigem acesso à superfície correspondente (access:ops, access:bko, access:driver), derivado no Profile a partir dos vínculos ativos.
  • Endpoints com escopo de organização retornam 403 quando o recurso pertence a outra organização.
As permissions de negócio são atribuídas por meio de Roles vinculadas ao usuário por Membership. Claims de superfície são derivados pelo Profile.