アバターLT

手元の環境で、事務担当者権限を持つユーザーでAPIを実行して、

GET /api/v1/users/me

でログインユーザーのroleを確認したところ、「 “role”: “self_only”」になっていました。

  • 従業員情報の一部閲覧・編集
  • 勤怠/休暇情報の閲覧・編集

ができる、とありますが、この権限を持つユーザーは、APIでは何ができるのでしょうか?この権限を持つユーザーは、APIでは何ができるのでしょうか?

自分自身に対してのみ、それらの作業が可能、ということだと思います。

 

一応、手元の環境で、下記を試してみたのですが、

GET /api/v1/employees/{emp_id}/work_records/{date}

{emp_id}の指定によって、下記の挙動となりました。

  • 自分自身 → 勤怠情報の取得可
  • 他の従業員 → 「アクセスする権限がありません」となり拒否される