1

我正在使用 SAP Cloud SDK for Java 在 S/4 的 SalesOrder API 上执行 CRUD。一切都很好,因为我可以从 Postman 执行这些操作。但是,只有在我包含预请求脚本以获取本博文中所述的 csrf 令牌时,来自 Postman 的这些请求才有效

如果我在没有博客文章中概述的预请求脚本的情况下运行请求,我会收到“403 Forbidden”。正如我所说,它适用于 Postman,但我想了解如何在不需要此脚本的情况下处理它,例如,如果我从另一个应用程序发出请求。SDK是否允许我以某种方式从应用程序代码处理这个问题。也许我错过了一些东西。

谢谢你的时间。

编辑:我不是直接从 Postman 向 S/4 提出请求。我部署了一个应用程序,它使用 Cloud SDK 向 S/4 发出请求。如果我在发送之前使用预请求脚本获取 CSFR 令牌并将其附加到请求中,则它可以工作,但如果我不使用,则为 403。所以,如果我们想象我不是在使用 Postman,而是在某个地方使用一些 ui 来填写表格并发送这个请求,我的理解是,我不应该像你建议的那样担心这个令牌,我的中间服务使用SDK 和 VDM 应该为我处理这个问题。这是我很难理解的。 在此处输入图像描述

这是servlet代码:

@Override
protected void doPost(final HttpServletRequest request, final HttpServletResponse response)
        throws ServletException, IOException {

    String body = IOUtils.toString(request.getReader());
    JSONObject so = new JSONObject(body);
    String distributionChannel = so.get("DistributionChannel").toString();
    String salesOrderType = so.get("SalesOrderType").toString();
    String salesOrganization = so.get("SalesOrganization").toString();
    String soldToParty = so.get("SoldToParty").toString();
    String organizationDivision = so.get("OrganizationDivision").toString();
    String material = so.get("Material").toString();
    String requestedQuantityUnit = so.get("RequestedQuantityUnit").toString();

    SalesOrderItem salesOrderItem = SalesOrderItem.builder()
    .material(material)
    .requestedQuantityUnit(requestedQuantityUnit).build();

    SalesOrder salesOrder = SalesOrder.builder()
    .salesOrderType(salesOrderType)
    .distributionChannel(distributionChannel)
    .salesOrganization(salesOrganization)
    .soldToParty(soldToParty)
    .organizationDivision(organizationDivision)
    .item(salesOrderItem)
    .build();

    try {
        final ErpHttpDestination destination = DestinationAccessor.getDestination(DESTINATION_NAME).asHttp()
                .decorate(DefaultErpHttpDestination::new);
        final SalesOrder storedSalesOrder = new CreateSalesOrderCommand(destination, new DefaultSalesOrderService(),
                salesOrder).execute();
        response.setStatus(HttpServletResponse.SC_CREATED);
        response.setContentType("application/json");
        response.getWriter().write(new Gson().toJson(storedSalesOrder));
        logger.info("Succeeded to CREATE {} sales order", storedSalesOrder);

    } catch (final Exception e) {
        response.setStatus(HttpServletResponse.SC_BAD_REQUEST);
        logger.error(e.getMessage(), e);
        logger.error("Failed to CREATE sales order", e);
    }
}

和 CreateSalesOrder 命令:

public SalesOrder execute() {
    return ResilienceDecorator.executeSupplier(this::run, myResilienceConfig);
}

protected SalesOrder run() {
    try {
        return salesOrderService.createSalesOrder(salesOrder).execute(destination);
    } catch (final ODataException e) {
        throw new ResilienceRuntimeException(e);
    }
}

我正在使用 SDK 的 3.16.1 版本,并在清单中将 SDK 的日志记录级别设置为 DEBUG:

SET_LOGGING_LEVEL: '{ROOT: INFO, com.sap.cloud.sdk: DEBUG}'

并将日志级别记录到 logback 中的 DEBUG

如果我从请求中删除预请求脚本并发送它,我会收到 403 响应,并且日志会显示以下消息:

"logger":"com.sap.cloud.sdk.service.prov.api.security.AuthorizationListener","thread":"http-nio-0.0.0.0-8080-exec-4","level":"DEBUG ","categories":[],"msg":"读取用户主体"

"logger":"com.sap.cloud.sdk.service.prov.api.security.AuthorizationListener","thread":"http-nio-0.0.0.0-8080-exec-4","level":"DEBUG ","categories":[],"msg":"在请求结束时破坏授权。" }

"logger":"com.sap.cloud.sdk.service.prov.api.security.AuthorizationService","thread":"http-nio-0.0.0.0-8080-exec-4","level":"DEBUG ","categories":[],"msg":"销毁授权 JWT 令牌。" }

4

3 回答 3

2

由于其他答案侧重于应用程序与 S/4 的通信,并且您调整了问题以明确您的意思是用户(例如邮递员)与应用程序通信,我将提供一些额外的信息。

正如其他答案所提到的,对 S/4 系统(或任何 OData 端点)的 CSRF 处理是在 OData VDM 一侧自动处理的。

您现在遇到的是 SAP Cloud SDK Maven Archetypes 的安全默认配置,RestCsrfPreventionFilter默认情况下已激活。GET此过滤器通过要求您在您提供的请求之前获取 CSRF 令牌来自动保护所有非端点免受 CSRF 影响。这与后台对 S/4 系统的 OData VDM 调用完全无关。

为了解决您的问题,现在有以下三个步骤:

  • 使用GET端点而不是POST
    • 可能仅作为临时解决方法
  • RestCsrfPreventionFilter暂时从您的web.xml
    • 应该用于生产用途,但可能会使您在初始评估中的生活更轻松。
  • “和它一起生活”
    • 由于这是保护您的应用程序免受 CSRF 攻击的常用模式,因此建议保留过滤器并根据需要执行 CSRF-Token “流”。

延伸阅读

于 2020-04-29T07:00:43.040 回答
1

SDK 尝试在execute(destination). 这发生在发出实际请求之前。如果尝试成功,则令牌将包含在请求中。如果没有,无论如何都会发送请求。

com.sap.cloud.sdk如果您认为这没有正确发生,请提高日志级别以调试所有软件包。此外,很高兴看到进出的实际 HTTP 请求,您可以通过将日志级别设置为 org.apache.http.wire也调试来启用这些请求。然后在此处附加堆栈跟踪以及您正在使用的 SDK 版本和您正在调用的确切代码。

于 2020-04-28T09:53:39.217 回答
1

墨者

你是对的,使用APIPostman你必须先发出HEAD请求才能获得CSRF令牌的工具。

但是,在您发出任何CRUD 请求Cloud SDK for Java时,我们会为您获取和刷新CSRF令牌。

这是一个读取 Saler Oder 项目并在之后更新它的示例:

// Create a new sales order item
SalesOrderItem item = new SalesOrderItem();
item.setSalesOrder(SALES_ORDER);
item.setNetAmount(new BigDecimal(NET_VALUE));
item = service.createSalesOrderItem(item).execute(destination).getResponseEntity().get();

// Modify it with a PATCH update to 9000 net value
item.setNetAmount(new BigDecimal(NET_VALUE_UPDATED));
ModificationResponse<SalesOrderItem> response = service.updateSalesOrderItem(item).modifyingEntity().execute(destination);

试试看,如果它适合你,请告诉我。如果您遇到任何困难,我们很乐意为您提供帮助。

于 2020-04-20T12:20:13.590 回答