Ao tentar acessar algum endpoint da API de Integração, pode acontecer de ser apresentado o retorno com o Status HTTP 403 - Forbidden / Permissão Negada.


Exemplo prático

Por que esse erro é retornado?


Normalmente esse erro é apresentado quando o Token da API de Integração, não possui permissão para acessar o endpoint / url desejada.


Um Token da API de Integração é sempre vinculado a um Usuário / Cliente do Painel Administrativo, então esse Usuário / Cliente precisa ter permissão para acessar os módulos / endpoints desejados.


Se o usuário não possuir permissão para acessar as Tags, então realmente será apresentada a mensagem de permissão negada.


Como liberar as permissões de acesso necessárias?


1- Acesse o Painel Administrativo da sua loja virtual
2- Vá no menu "API de Integração"

Importante: É necessário que o usuário logado no Painel Administrativo tenha permissões para acessar esse menu, do contrário, ele não será exibido.


3- Agora você irá conseguir visualizar todos os tokens de integração cadastrados e seus respectivos usuários vinculados:


Permitindo assim verificar qual usuário / cliente está vinculado ao token que está sendo utilizado na requisição:


Em nosso exemplo o Usuário "Mauro Ribeiro" está sendo utilizado para o token "8989898bn0md32n5wokoog8wswk4g4gcocwo00wsss0okgsggsgwg08"


4- Clique no usuário "Mauro Ribeiro" para visualizar o Detalhes desse Usuário / Cliente:


5- Agora clique no botão de "Editar"


6- Na tela de edição do cliente, role a página até encontrar as "Permissões de Acesso", veja que o usuário não possui permissão para a gestão de produtos:


7- Habilite as permissões necessárias (em nosso caso, precisamos habilitar a permissão "Gerente de Produto" para ter acesso as Tags).

Dica: É possível clicar em "Gerenciar Perfis de Acesso" para conceder permissões detalhadas para o usuário (é possível liberar permissões apenas para listar, editar, cadastrar ou deletar determinados registros).


8- Pronto! Agora ao tentar fazer novamente a requisição, iremos verificar que ela irá funcionar e não mais retornará a permissão 403.


Boas Práticas de Segurança


- Recomendar criar usuários específicos para serem utilizados pela API de Integração, assim é possível controlar as ações que são realizadas pela API.

- Recomendamos liberar somente as permissões de acesso desejadas para cada Usuário, assim evita-se que um usuário tenha permissões demais a módulos que não são necessários.