# 应用权限体系

权限体系是 WPS 保护企业数据资产的核心机制，也是开发者在接入 WPS 生态时要关注的关键问题，本文帮助你快速了解 WPS 的权限体系。

应用权限体系分为以下 4 个维度

**访问凭证（access_token）**：用于识别应用在访问 WPS 时使用的虚拟身份，代表应用从平台侧获取的授权。用于验证调用方身份、确保调用方具有执行操作所需要的权限。详情参考[认证与授权](/app-integration-dev/wps365/server/certification-authorization/summary)。

**API 权限（scope）**：定义应用能够调用哪些 WPS 开放能力接口（OpenAPI）。API 接口权限是以应用为维度授予的，每个应用的接口权限都是独立存在的，若多个应用需要调用同一个接口，那么每个应用都要添加对应的接口权限。申请API权限后应用上架，需要经过审批流程。详情可见 [申请应用上架](/app-integration-dev/guide/self-app/release-app)

**可用范围**：定义哪些用户可以在 WPS 协作、WPS OFFICE客户端等产品中看到和使用该应用。

**数据权限**：定义应用可以访问企业数据资产的范围。配置数据权限后，表现为应用调用获取通讯录信息等相关接口时，只能获取到权限范围内的用户信息。因此应用也只能对这些用户发起用户授权，调用云文档、消息与会话等接口，访问业务数据。

通讯录数据权限规则说明：

- 权限范围设置为部门时，代表拥有部门及部门直属员工， 部门下子部门及子部门下员工的所有权限
  例如：通讯录中有A、B、C三个部门，用户a在部门A下，部门B是部门A的子部门，若一个应用只有A和B两个部门的通讯录权限，那么应用可以通过接口获取部门A、用户a、部门B的信息，无法获取部门C的信息
- 修改用户的部门信息需要同时有用户和用户所在部门的权限
  例如：用户原来在A部门，想将用户从部门A移动到部门B，则需要应用有部门A和部门B的权限。
- 修改部门的父部门信息时需要有上级部门权限
  例如：部门a原来在部门A下，想将部门a从部门A移动部门B下，需要同时有部门A和部门B的操作权限。
  
  在上述 4 个维度中，访问凭证是最基本的权限，用于验证应用的身份并确保调用方具有执行操作所需的权限；API 权限用于控制应用可以调用哪些 WPS 开放能力接口；可用范围则定义了哪些用户可以在 WPS各类产品中主动查看和使用该应用；数据权限则定义了应用可通过接口操作或获取的数据范围。

在上述 4 个维度中，访问凭证是最基本的权限，用于验证应用的身份并确保调用方具有执行操作所需的权限；API 权限是控制应用可以调用哪些 WPS 开放能力接口的关键因素；可用范围则定义了哪些用户可以在 WPS 中查看和使用该应用；数据权限则定义了应用可通过接口操作或获取的数据范围。