SAP 发布OAUTH2.0接口

SAP公司推出OAuth 2.0接口是为了满足现代API接口安全验证需求，替代传统的账号密码验证方式，以适应更为严格的企业信息安全标准。OAuth 2.0作为一种行业标准的授权协议，它允许应用访问服务器上受保护的资源，而无需直接使用用户凭证。在SAP系统中实现OAuth 2.0接口需要满足特定的前置条件，包括系统中必须包含支持odata的组件且相关配置要激活，同时服务器必须启用SSL认证访问。在SAP_BASIS 740及以上版本中，支持的授权方式会有所不同。 具体操作上，首先需要创建一个ODATA接口并设置其授权范围，这通常在SEGW工具中进行。创建完成后，需要添加服务并启用OAuth 2.0授权。在此之后，创建一个系统用户，该用户将作为client id进行OAuth 2.0客户端配置。配置过程中涉及角色的创建和权限的分配，包括为特定用户添加Odata访问权限。此外，需要在OAuth2.0客户端配置界面中（URL: https://xxx/sap/bc/webdynpro/sap/oauth2_config?）设置相应的访问权限和范围。 获取OAuth 2.0 token的过程包括两种授权方式：Authorization Code和client_credentials。对于Authorization Code方式，需要用户提供登录凭证，并通过重定向到授权URL和回调URL来完成授权流程。而对于client_credentials授权方式，则需提供特定的URL（如https://XXX/sap/bc/sec/oauth2/token?sap-client=&grant_type=client_credentials&scope=YOAUTH_TEST_ODATA_SRV_0001）以及相应的scope参数，直接请求获取Token。值得注意的是，根据SAP的版本和具体配置，client_credentials授权方式可能不被支持，此时可以使用refresh token获取新的Token。 在接口测试环节，获取x-csrf-token是出于安全考虑的重要步骤。测试中需使用post方法调用接口，并验证token的有效性。测试接口调用时，需要注意实际授权参数的位置和参数名，这可能涉及到访问未授权接口的测试。 对于不支持client_credentials授权方式的旧版本SAP系统，可以参考SAP官方的note 3074885进行特定的处理。在某些情况下，系统的限制可能意味着需要通过其他技术手段来解决问题，不过这可能涉及到较大的工作量和对私有方法的访问，因此需要谨慎评估。 在使用refresh token时，每次使用刷新令牌都会得到一个新的刷新令牌，同时使原有的刷新令牌失效。尽管这种做法从安全性角度是可取的，但频繁的刷新操作可能会带来不便。获取refresh token的详细信息可以在SAP官方帮助文档中找到，其中提供了如何使用refresh token进行操作的具体说明。 总结以上内容，SAP OAuth 2.0接口的使用是一个涉及多步骤配置和测试的复杂过程。它不仅涉及系统和配置层面的设置，还包括了测试和调试环节，以确保接口的安全性和功能性。SAP系统管理员和开发人员需要严格按照OAuth 2.0协议和SAP的指导文档来进行操作，以适应企业对信息安全和系统集成的严格要求。