# 权限:我能干什么?
## 需要什么权限
权限是绑定在**接口**能力或者数据**字段**之上的,定义了这个接口或者数据的权限要求,通常可以在接口的接口列表中看到,如下图:
*(图2: 接口文档中的权限要求示意)*
接口文档会标识该接口在具备什么权限的情况下才可以使用,部分参数字段在具备什么权限的情况下才会返回。
开发者需要注意的是,这里的**权限要求**字段表示的是整个接口的权限要求,在这里表示“或”的关系,即获得列表中任何一个权限即可调用该接口;而**字段权限要求**则表示的是“必须”。如下图所示,只有具备“获取用户`userid`”权限时才会在响应体中返回`userid`字段。关于**字段权限要求**的部分也会在具体的请求/响应体参数中声明,如下图:
*(图3: 接口文档中的字段权限要求示意)*
除了在每个接口中我们可以看到权限声明之外,我们还可以在以下文档查找权限约束:
- 服务端 API 相关,请参见[应用权限](https://open.larksuite.com/document/ukTMukTMukTM/uQjN3QjL0YzN04CN2cDN)
- 小程序开发相关,请参见[API 权限](https://open.larksuite.com/document/uYjL24iN/uITMuITMuITM)
这些文档按照**通讯录**/**消息**/**群组**等各功能模块分别列出了权限代码、描述及约束条件。我们建议开发者在正式开始应用开发工作之前,对权限列表进行基本了解。
## 如何申请权限
权限的申请在[开发者后台](https://open.larksuite.com/app)进行,下图展示了大致的申请流程:
*(图4: 开发者后台中的权限配置面板)*
在[开发者后台](https://open.larksuite.com/app),我们可以查看该应用已经获得的权限列表,也可以申请新的权限。
在**权限管理**页中添加完成权限之后并不会马上生效。你需要发布一个新的应用版本,并且提交管理员审核。在通过管理员审核之后,你的应用才真正获得该权限。
*(图5: 开发者后台中创建新版本提交审核)*
当开发者在调用接口失败的情况下,可以参考返回的错误码,判断是否是权限相关的错误并检查是否获得了该接口需要的权限。
**权限申请原则**
权限的申请应该遵循**最小可用范围**的原则,权限范围过大可能会威胁企业数据安全管控。在无充分理由的情况下,请注意杜绝直接申请大量接口权限的滥用行为。正因为如此,在Lark开放体系中,权限的管控有严格的审核流程设计。
- ISV 开发的商店应用:如需申请权限,需要通过Lark开放平台在**应用上架流程**和**租户安装应用流程**中的两道审核。
*(图6: 商店应用在初次安装和版本更新时的权限授权示意)*
- 企业自建应用:应用开发者申请的权限也需要通过租户管理员的审核。
*(图7: 租户管理员对自建应用的权限变更审核示意)*