権限とエラー

権限エラーに関して

権限が足りない等、リソースにアクセスできないとき 401,403 エラーが返されます。
エラー内容に応じて対応できるよう実装ください。

エラーの詳細はHTTPステータスコード400台エラー時のチェックポイントでご確認いただけます。

開発時に意識すべき制限

開発時に意識すべき制限は次のとおりです。

  • アプリ権限による制限
  • 利用プランによる制限
  • ユーザー権限による制限
  • トークンの状態による制限

アプリ権限による制限

アプリ管理より設定できる、アプリに紐づく権限による制限に関してです。
アプリは利用するリソース(取引、請求書など)に応じて権限を設定する必要があります。
意図せぬ情報操作が発生しないよう、アプリに付与する権限は必要最低限にしてください。
アプリに設定された権限は、アプリ利用開始時(認可時)にユーザーに明示され、リソースへのアクセスを行って良いか確認がなされます。

認可画面

アプリの権限を変更した場合、再度ユーザーに許可を取る必要があります。
401: re_authorization_required が返却された際、再認可出来るよう実装ください。
詳細はアプリ権限の変更反映タイミングについてをご確認ください。

利用プランによる制限

利用中のプランに応じて制限がかかる場合がございます。
特に、ファイルボックスやセグメントに関するパラメータを利用するさいご注意ください。
エンタープライズプランでIP制限を利用している場合、APIもその対象となります。
その他プランによる挙動の違いはリファレンスの他、ヘルプページをご確認ください。

ユーザー権限による制限

利用するユーザー権限も影響します。
リソースにアクセスする権限のないユーザーが利用した際、
401:user_do_not_have_permission が返却されます。
事業所の管理者の方に権限を見直してもらうなど誘導してください。

例)
取引の更新権限があるアプリを利用していても、利用者に取引の登録・編集・削除権限がない場合、該当の操作は出来ません。

トークンの状態による制限

アクセストークンには有効期限があります。
有効期限をすぎると 401: expired_access_token が発生します。
リフレッシュトークンを使用してアクセストークンを再取得してください。

リフレッシュトークンを利用したアクセストークンの取得に失敗する可能性もございます。その場合、認可からやり直す必要があります。