OAuth 2.0协议在SAP产品中的应用

阮一峰老师曾经在他的博文理解OAuth 2.0里对这个概念有了深入浅出的阐述。

http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

本文会结合我在SAP做过的项目，来给大家介绍这个协议是如何应用到SAP产品中去的。

我做过的最早的一个和OAuth 2.0相关的项目，是2013年时作为SAP成都研究院CRM开发团队的一员，参与设计和开发了SAP CRM和社交媒体集成解决方案。该方案实现了Twitter, Facebook和新浪微博等社交媒体和SAP CRM On Premise(以下简称SAP CRM)的呼叫中心(Interaction Center)的集成。

通过在SAP CRM后台配置一个社交媒体账号，比如某Twitter账号，使得SAP CRM的后台作业能够定期把Twitter网站上@了该Twitter账号的所有tweets抓取到CRM呼叫中心的收件箱里供坐席处理。

例如客户在Twitter官网上发一条@AndrewPang6的tweet, 文本内容如下:

在SAP CRM完成必需的配置之后，该tweet能够被SAP CRM的后台作业抓取到CRM呼叫中心。坐席通过在Inbox(收件箱)里指定相应的搜索条件，如下图所示，即可检索出对应存储在CRM的tweet。

更多细节参考我的blog: Twitter(also Facebook) is official integrated into CRM 7.0 EHP3

https://blogs.sap.com/2013/11/08/twitteralso-facebook-is-official-integrated-into-crm-70-ehp3/

---

作为SAP的另一款基于云的CRM解决方案，SAP Hybris Cloud for Customer(以下简称C4C), 毫无疑问也包含了社交媒体的解决方案。

我们还是用上文介绍的SAP CRM呼叫中心的社交媒体使用场景为例。

在C4C系统里创建一个新的类型为Twitter的Social Medial Channel(社交媒体渠道)。该渠道的类型为Twitter，渠道ID可以由创建者指定:

然后把创建的渠道同某个Twitter账号绑定。在这个例子里，我创建的ID为I042416的渠道绑定到了我的Twitter账号JerryWang_SAP上。完成之后，该Twitter账号发布的tweets就能够被抓取到C4C系统中。

下图左边是我创建好的ID为I042416的社交媒体渠道，红色区域是我的Twitter账号。右边的IMPORT RUN包含了一个表格，显示了三次后台作业的执行情况。这些后台作业完成的逻辑就是把JerryWang_SAP这个账号在Twitter网站上发布的tweets抓取到C4C去。

以这三条tweets为例:

这三条tweets都成功地被抓取到C4C系统的Service(服务)工作中心，生成对应的Ticket:

点击超链接，能看到Ticket明细。下图红色区域的内容来自我在Twitter网站上发布的其中一条tweet。

---

等等，到目前为止好像OAuth2.0在这两个产品里没有露面？下面以SAP CRM为例，通过模拟Andrew和一个SAP CRM客户的对话来介绍OAuth2.0到底是怎么在社交媒体集成方案中发挥作用的。

背景介绍：这篇文章第一张截图里的Pang Andrew，就是SAP CRM社交媒体集成项目里实现了Twitter渠道同CRM呼叫中心双向交互的SAP成都研究院的开发人员之一。所以下面和客户的对话请他出来客串。该对话纯属Jerry虚构，如有雷同纯属巧合。

客户:SAP您好, 我有一个Twitter账号，我想把Twitter网站上@了这个账号的相关tweets同步到SAP CRM的呼叫中心里。

Andrew: 好的。请提供您的Twitter账号和密码。

客户:账号我可以提供，为什么还要提供密码?

Andrew:有了您的Twitter账号和密码，SAP可以使用在RFC 7617里定义的Basic Authentication方式，调用Twitter提供的Read API拿到您希望同步到CRM去的tweets数据。您可以参考下面的wiki定义:

https://en.wikipedia.org/wiki/Basic_access_authentication

客户: 等等，您提供的这些信息太过技术化了。这样吧，我让我们IT人员来和您沟通。

客户IT:这个密码是我们的私人信息啊，能不能不提供给你们啊？

Andrew: 这个密码我们可以通过ABAP Security Storage这个技术来存储在ABAP Netweaver上。这样，无论SAP的支持人员，还是您企业里的工作人员都是不可能通过技术手段来窃取到这个密码的。SAP的安全技术您就放心吧，下面是ABAP Security Storage的官方说明:

https://help.sap.com/saphelp_nw74/helpdata/en/4e/eb2dce10f2398de10000000a42189b/frameset.htm

客户IT认真阅读帮助文档中...

客户IT:除了这个把密码提供给你们的方式，你们有其他的方式来调用Twitter的API么？

Andrew:早期的Twitter API只支持Basic Authentication, 但是后来Twitter也支持了其他的认证方式。

Twitter允许第三方开发者在官网上创建第三方应用，比如我创建了下图名为i042416的Twitter应用:

Twitter官网会给这个应用颁发一对Key和Secret作为其唯一标识。

通过这对key和Secret, 我可以构造一个oauth_token，这个oauth_token能向Twitter表明我作为i042416这个应用的身份。我把构造好的oauth_token，作为url的一部分发给您。

完整的url如下图所示。

这个url是属于Twitter官网的，因此您可以放心使用。该url对应的网页会询问您是否愿意让该Twitter第三方应用取得读取您tweets的权限。如果您愿意，点击Authorize app按钮即可。同时Twitter官网也强调了这个应用并不具有窥探您密码，邮箱地址或者访问您私信的权限。

您点击了button之后，Twitter就会返回给我一个access token。利用这个access token，我就可以开工了，在CRM ABAP代码里调用Twitter API，读取您的tweets。

Jerry注: 这是阮一峰老师文章里提到的OAuth2.0中的认证模式之一: 简化模式(implicit grant type)

客户IT: 听起来不错！这样我就不需要把我们公司的Twitter用户的密码提供给您了。

但是，这个access token是通过明文的形式被浏览器返回的。如果这个access token泄漏了怎么办？别有用心者一样可以用它来干坏事。

Andrew: 您真专业！那这样吧，我们换一种方式。这种方式Twitter不会直接把access token通过浏览器返回给我，而仅仅返回一个oauth_verifier token。

我拿到这个token之后，会在我的ABAP代码里使用这个verifier token向Twitter服务器发起请求。Twitter收到我的请求，会给我的应用返回access token。这个access token的获取过程是发生在ABAP会话期里的，其他人不可能窃取到。我会使用这个access token来调用Twitter API。

另一方面，即使其他人窃取到了浏览器返回的oauth_verifier token, 他们也无法通过同样的方式获取到access token, 因为他们不知道我Twitter应用的Key和Secret。这下您放心了吧？

Jerry注: 这种方式即阮一峰文章里介绍的授权码模式(authorization code)。

客户IT:恩，放心了，感谢您详细的讲解。那么我想要在SAP CRM的呼叫中心里使用这个解决方案，具体该如何开始呢？

Andrew:请阅读这个SAP note获得实施的具体步骤: 1832462 - Master Note: How to Implement Social Media Channel API to Integrate with CRM Interaction Center。

扩展阅读

• 理解OAuth 2.0:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

• Twitter/Facebook和SAP CRM的集成:https://blogs.sap.com/2013/11/08/twitteralso-facebook-is-official-integrated-into-crm-70-ehp3/

• FAQ C4C Social Media: https://blogs.sap.com/2017/06/26/faq-social-media/

• Using Oauth - Twitter Developers:  https://developer.twitter.com/en/docs/basics/authentication/overview/using-oauth

要获取更多Jerry的原创技术文章，请关注公众号"汪子熙"或者扫描下面二维码: