从服务入口到业务对象,ABAP Programming Model for SAP Fiori 的授权架构全景解析
📅 2026/7/13 14:33:04
观察这张架构图时,最容易把注意力放在S_SERVICE、S_START、S_SCOPE、授权对象和角色这些技术名词上,但真正决定整套设计能否被正确理解的,是图中横向和纵向的两次切分。横向分成Design Time / App Dev、Administrator和ABAP Runtime,对应开发人员定义安全规则、管理员把规则装配成实际权限、运行时执行权限检查。纵向分成OData Service和Data Model,对应请求能否进入服务,以及进入服务后能够访问哪些数据、执行哪些业务操作。这两次切分组合后形成了一个完整的安全链条。应用开发阶段不直接决定某个生产用户能够访问哪个公司代码,而是定义应用需要哪些授权对象、哪些字段参与判断、哪些操作需要检查、哪些 CDS 数据必须受访问控制保护。管理员也不负责编写业务授权逻辑,而是依据开发阶段提供的默认值和角色模板,在PFCG中维护组织范围、活动类型及用户分配。运行时则不理解岗位设计,它只根据当前登录身份、角色中的授权值、请求访问的服务和业务数据执行检查。图中每一列都不能被另一列取代,这正是这套授权架构的主轴。这张图描述的是经典的ABAP Programming Model for SAP Fiori