問題
- ユーザーはコンテンツの制限や認可を受けることなくAPIを利用することができる
/o/headless-commerce-delivery-order/v1.0/channels/${channelId}/accounts/${accountNumber}/placed-orders
- 例):アカウントID = 2で認証された状態で、ユーザーがアカウントID = 1をパラメーターとして渡した場合、APIコールはリクエストを受け入れ、ユーザーはアカウントID 1の詳細とレスポンスを見ることができます。
Environment
- コマース4.0 - DXP 7.4
解決策
- ユーザーが Account Role を通して View Open Orders, View Orders を割り当てられた場合、すなわち。 ${channelId}${accountNumber}バイヤー、ユーザーは、バイヤーロールが割り当てられているアカウントに固有の注文を表示することができるだけです。
追加情報
- View Open Orders, View Orders を Regular Roleで割り当てられたユーザーは、v1.0/channels/${channelId}/accounts/${accountNumber}/placed-orders を使用すると、すべての注文を表示することができ ます。
会員限定記事
Liferay エンタープライズ サブスクリプションをお持ちのお客様は1500件を超えるベストプラクティス、トラブルシューティング、その他のソリューション記事を閲覧できます。ログインすると、記事全体をお読みいただけます。
ログイン