分类:
2010-08-27 15:31:17
每一个sap R/3用户都有自己的权限范围,这些用户权限是由系统管理员进行分配的,通常情况下与abap应用程序无关,系统将自行判断某一用户能否进行某操作,但是,通过open sql 语句操作数据库数据时,系统本身并不进行任何权限检查,因此在编写相关的数据库操作程序时,必须考虑使用该程序的用户是否具有相关的权限,防止未经授权的用户操作关键数据。
在sap系统中,用户权限和其在程序中的评估是通过授权对像(authorization objects)实现的,与锁定对像无关,一个授权对像代表数据库操作的行为;一旦授权对像被分配给主参数记录,该对像中的字段值被分配用户,该对像包含两个字段carrid 和 actvt代表航空运营公司标识的行为代码,其组合结果确定了哪些航空公司可以被用户所访问以及可以进行什么行为,这些具体行为存储在系统表tact和tactz中。
授权对像并非一个一个地分配给系统用户,而是通过多个对像组合成的授权档案(profile)进行分配的,这些档案中包括特定的默认授权对像的值。在abap程序中,可以访问一系统的授权对像,必须确定程序中应该用的特定对像,如果没有合适的对像。可以在系统中创建并将其添加至授权档案。
可以进行下述类型的授权检查:
1、事物运行权限
在创建事务代码时,可以在authorization object字段中输入授权对像,并设定value字段,如果用户希望运行相应的事物,必须具有相关权限,否则系统输出提示信息。
2、程序运行权限
在abap程序的属性中,可以输入authorization groups属性,授权组(authorization group)与s_develop和s_program权限对像中的p_group字段相关联,通过检查该字段和用户主记录中的相关值,可以确定用户是否可以运行该程序。
3、程序内部权限检查
如果系统不能自动控制用户运行程序的权限,还可以在程序内部进行权限检查
AUTHORITY-CHECK OBJECT 'OBJECT'
ID 'NAME1' FIELD F
ID 'NAME2' FIELD F2. 其中name用于指定字段名,字段用于指明授权对像相应的字段值,该值将与用户主记录中的值进行比较,且必须列出授权对像中的所有值,如果不希望检查该值
ID 'NAME' DUMMY
语句执行后,需要对sy-subrc进行检查,如果出现非0则可能的情况是用户不具有该权限,
程序实例:
PARAMETERS P_CARRID TYPE SFLIGHT-CARRID.
AUTHORITY-CHECK OBJECT 's_carrid'
ID 'carrid' FIELD P_CARRID
ID 'actvt' FIELD '03'.
IF SY-SUBRC = 4.
MESSAGE E054(SABAPDOCU) WITH P_CARRID.
ELSEIF SY-SUBRC <> 0.
MESSAGE A888(SABAPDOCU) WITH 'ERROR1'.
ENDIF.