OAuth 2.0协议在SAP产品中的应用

阮一峰老师曾经在他的博文理解OAuth 2.0里对这个概念有了深入浅出的阐述。

http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

本文会结合我在SAP做过的项目,来给大家介绍这个协议是如何应用到SAP产品中去的。

我做过的最早的一个和OAuth 2.0相关的项目,是2013年时作为SAP成都研究院CRM开发团队的一员,参与设计和开发了SAP CRM和社交媒体集成解决方案。该方案实现了Twitter, Facebook和新浪微博等社交媒体和SAP CRM On Premise(以下简称SAP CRM)的呼叫中心(Interaction Center)的集成。

通过在SAP CRM后台配置一个社交媒体账号,比如某Twitter账号,使得SAP CRM的后台作业能够定期把Twitter网站上@了该Twitter账号的所有tweets抓取到CRM呼叫中心的收件箱里供坐席处理。

例如客户在Twitter官网上发一条@AndrewPang6的tweet, 文本内容如下:

在SAP CRM完成必需的配置之后,该tweet能够被SAP CRM的后台作业抓取到CRM呼叫中心。坐席通过在Inbox(收件箱)里指定相应的搜索条件,如下图所示,即可检索出对应存储在CRM的tweet。

更多细节参考我的blog: Twitter(also Facebook) is official integrated into CRM 7.0 EHP3

https://blogs.sap.com/2013/11/08/twitteralso-facebook-is-official-integrated-into-crm-70-ehp3/


作为SAP的另一款基于云的CRM解决方案,SAP Hybris Cloud for Customer(以下简称C4C), 毫无疑问也包含了社交媒体的解决方案。

我们还是用上文介绍的SAP CRM呼叫中心的社交媒体使用场景为例。

在C4C系统里创建一个新的类型为Twitter的Social Medial Channel(社交媒体渠道)。该渠道的类型为Twitter,渠道ID可以由创建者指定:

然后把创建的渠道同某个Twitter账号绑定。在这个例子里,我创建的ID为I042416的渠道绑定到了我的Twitter账号JerryWang_SAP上。完成之后,该Twitter账号发布的tweets就能够被抓取到C4C系统中。

下图左边是我创建好的ID为I042416的社交媒体渠道,红色区域是我的Twitter账号。右边的IMPORT RUN包含了一个表格,显示了三次后台作业的执行情况。这些后台作业完成的逻辑就是把JerryWang_SAP这个账号在Twitter网站上发布的tweets抓取到C4C去。

以这三条tweets为例:

这三条tweets都成功地被抓取到C4C系统的Service(服务)工作中心,生成对应的Ticket:

点击超链接,能看到Ticket明细。下图红色区域的内容来自我在Twitter网站上发布的其中一条tweet。


等等,到目前为止好像OAuth2.0在这两个产品里没有露面?下面以SAP CRM为例,通过模拟Andrew和一个SAP CRM客户的对话来介绍OAuth2.0到底是怎么在社交媒体集成方案中发挥作用的。

背景介绍:这篇文章第一张截图里的Pang Andrew,就是SAP CRM社交媒体集成项目里实现了Twitter渠道同CRM呼叫中心双向交互的SAP成都研究院的开发人员之一。所以下面和客户的对话请他出来客串。该对话纯属Jerry虚构,如有雷同纯属巧合。

客户:SAP您好, 我有一个Twitter账号,我想把Twitter网站上@了这个账号的相关tweets同步到SAP CRM的呼叫中心里。

Andrew: 好的。请提供您的Twitter账号和密码。

客户:账号我可以提供,为什么还要提供密码?

Andrew:有了您的Twitter账号和密码,SAP可以使用在RFC 7617里定义的Basic Authentication方式,调用Twitter提供的Read API拿到您希望同步到CRM去的tweets数据。您可以参考下面的wiki定义:

https://en.wikipedia.org/wiki/Basic_access_authentication

客户: 等等,您提供的这些信息太过技术化了。这样吧,我让我们IT人员来和您沟通。

客户IT:这个密码是我们的私人信息啊,能不能不提供给你们啊?

Andrew: 这个密码我们可以通过ABAP Security Storage这个技术来存储在ABAP Netweaver上。这样,无论SAP的支持人员,还是您企业里的工作人员都是不可能通过技术手段来窃取到这个密码的。SAP的安全技术您就放心吧,下面是ABAP Security Storage的官方说明:

https://help.sap.com/saphelp_nw74/helpdata/en/4e/eb2dce10f2398de10000000a42189b/frameset.htm

客户IT认真阅读帮助文档中...

客户IT:除了这个把密码提供给你们的方式,你们有其他的方式来调用Twitter的API么?

Andrew:早期的Twitter API只支持Basic Authentication, 但是后来Twitter也支持了其他的认证方式。

Twitter允许第三方开发者在官网上创建第三方应用,比如我创建了下图名为i042416的Twitter应用:

Twitter官网会给这个应用颁发一对Key和Secret作为其唯一标识。

通过这对key和Secret, 我可以构造一个oauth_token,这个oauth_token能向Twitter表明我作为i042416这个应用的身份。我把构造好的oauth_token,作为url的一部分发给您。

完整的url如下图所示。

这个url是属于Twitter官网的,因此您可以放心使用。该url对应的网页会询问您是否愿意让该Twitter第三方应用取得读取您tweets的权限。如果您愿意,点击Authorize app按钮即可。同时Twitter官网也强调了这个应用并不具有窥探您密码,邮箱地址或者访问您私信的权限。

您点击了button之后,Twitter就会返回给我一个access token。利用这个access token,我就可以开工了,在CRM ABAP代码里调用Twitter API,读取您的tweets。

Jerry注: 这是阮一峰老师文章里提到的OAuth2.0中的认证模式之一: 简化模式(implicit grant type)

客户IT: 听起来不错!这样我就不需要把我们公司的Twitter用户的密码提供给您了。

但是,这个access token是通过明文的形式被浏览器返回的。如果这个access token泄漏了怎么办?别有用心者一样可以用它来干坏事。

Andrew: 您真专业!那这样吧,我们换一种方式。这种方式Twitter不会直接把access token通过浏览器返回给我,而仅仅返回一个oauth_verifier token。

我拿到这个token之后,会在我的ABAP代码里使用这个verifier token向Twitter服务器发起请求。Twitter收到我的请求,会给我的应用返回access token。这个access token的获取过程是发生在ABAP会话期里的,其他人不可能窃取到。我会使用这个access token来调用Twitter API。

另一方面,即使其他人窃取到了浏览器返回的oauth_verifier token, 他们也无法通过同样的方式获取到access token, 因为他们不知道我Twitter应用的Key和Secret。这下您放心了吧?

Jerry注: 这种方式即阮一峰文章里介绍的授权码模式(authorization code)。

客户IT:恩,放心了,感谢您详细的讲解。那么我想要在SAP CRM的呼叫中心里使用这个解决方案,具体该如何开始呢?

Andrew:请阅读这个SAP note获得实施的具体步骤: 1832462 - Master Note: How to Implement Social Media Channel API to Integrate with CRM Interaction Center。

扩展阅读

要获取更多Jerry的原创技术文章,请关注公众号"汪子熙"或者扫描下面二维码:

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏PHP在线

初学者玩好Linux的建议

我把之前的一些学习经验和方法跟大家分享下,希望对大家有所帮助: 一、玩好Linux一定要经常折腾,说白了,就是动手能力一定要强。 我初学Linux那...

4456
来自专栏数据派THU

独家 | 一文读懂Apache Flink技术

本文来自9月1日在成都举行的Apache Flink China Meetup,分享来自于云邪。

2212
来自专栏牛客网

成都-阿里Java研发工程师面经

11号去成都参加阿里面试,网上预约的3点,两点半就到了,刚签完到马上就喊去面试。经历了一面二面和HR面。 一面 1.介绍一下你的项目,说一下哪个项目印象最深 ...

4358
来自专栏分布式关系数据库探索

分布式关系数据库探索 - NewSQL 演化过程

回味过去,展望未来,开始分布式数据库探索之旅,首先了解历史,本文大致梳理一下数据库发展过程,从1970年到2018年,数据库的发展过程,仅供参考,交流和学习,感...

5331
来自专栏LET

CPU简介

3239
来自专栏SDNLAB

网络功能虚拟化系列:NFV的开源软件包

本文系SDNLAB社区译者计划发布文章,SDNLAB将与国外优质媒体和个人进行长期的内容合作,带来更多的优质技术文章,本文是<<网络功能虚拟化:新兴的虚拟化网...

3718
来自专栏phodal

全栈工程师的百宝箱:图形工具篇

为了防止我下次钱包丢失,我正在努力打造一个智能(带GPS、蓝牙)的钱包,所以最近文章会少一点。 在上一篇《全栈工程师的百宝箱:黑魔法之文档篇》我们介绍了一些文档...

22910
来自专栏康怀帅的专栏

Mac OS X 背后的故事(下)

Mac OS X 背后的故事(九)半导体的丰收 半导体的丰收(上)   在美国宾夕法尼亚州的东部,有一个风景秀美的城市叫费城。在这个城市诞生了一系列改变世界的奇...

4717
来自专栏牛客网

BAT面经

因为也许我当时因为要实现梦想只有一条途径,可如果你选择了一条路,这并不意味着你要放弃其他的方式。——《跳出我天地》

1783
来自专栏nimomeng的自我进阶

《2016中国移动开发者大会》参会笔记

总的来说,2016年的综合场(第一天上午)感觉讲的一般,身边的人吐槽也比较多。不过相比之下,iOS场干货就比较多了,演讲者基本都是圈内大V,包括喵神,Sunny...

1282

扫码关注云+社区

领取腾讯云代金券