SAP 网关在尝试获取 csrf 令牌时得到 403 未授权。
相同的用户名/密码适用于读取操作。
我查看了 sap 论坛中的其他一些帖子并在那里发布: https ://answers.sap.com/questions/715798/sap-gateway-unauthorized-when-trying-to-get-a-csrf.html
我们使用的是 http,但我们将 login/ticket_only_by_https 设置为 0。
我还查看了服务,没有看到参数 ~CHECK_CSRF_TOKEN = 0,如:https ://archive.sap.com/discussions/thread/3723417 所述
参数列表显示为空白。
还有其他想法吗?
我编写了一个小型 c# 程序来尝试获取 csrf 令牌,它适用于我们的测试系统,但它在客户的系统上失败。我一直无法弄清楚为什么。
修复它的一种方法是将以下内容附加到 URL:“?spnego=disabled”。
我在以下位置找到了此信息:
https://launchpad.support.sap.com/#/notes/0002462330
2462330 - 您的浏览器未配置为在 Fiori Client 上使用 SPNego 错误 - FC/KAP Version 1 from 24 Apr 2017 in English 组件:MOB-FC 优先级:正常 类别:问题发布状态:已发布给客户评分 有帮助:(2 人)质量评级: 描述产品本文档被LanguagesRate 本文档引用 症状 尝试将 Fiori Client iOS 连接到 Netweaver 网关时收到错误“您的浏览器未配置为使用 SPNego 按 F5(页面刷新)以继续”。环境 • Fiori Client 1.8.7 iOS • 配置了SPNego 的Netweaver 网关 重现问题 1. 使用SPNego(协商)身份验证配置Netweaver 网关和Fiori Launchpad。2.尝试连接iOS Fiori Client。3. 观察者错误“您的浏览器未配置为使用 SPNego”。原因 所有平台上的 Fiori Client 都不支持 SPNego (Negotiate) 身份验证。解决方法 用户将 URL 参数 spnego=disabled 添加到 Fiori URL 并解决了问题。示例:http://:/sap/bc/ui5_ui5/ui2/ushell/shells/abap/FioriLaunchpad.html/?spnego=disabled
修复它的另一种方法可能是确保在 URL 的末尾有一个尾随 / 以从中获取 csrf 令牌。在一个用户的站点上,使用 fiddler 我们经常看到 307 重定向调用,然后是 401 未经授权的调用。在本地,当我运行时,我看到 307 重定向调用,但没有失败。使用 URL 末尾的尾随 / 我们没有得到 307 重定向,它似乎工作得更好。
编辑:确认,客户现在运行得更好。