您好 vamshi krishna kvk ，

我想您是在谈论平台授权管理API ，对吗？

如果是这样，就像所有API一样，您需要一种方法来向API请求令牌。 不幸的是，您无法在Neo的目标位置配置此设置-因为该目标位置不会保护您的客户端ID/秘密-该设置将在浏览器中可用。 因此，任何应用程序用户都可以获取客户端ID和密码，从而达到其目的。

因此，您必须将此信息隐藏在Web服务中（在Neo中，可以在Java应用程序中实现） 因此，您的前端应用程序可以在目的地中使用AppToApp身份验证模式安全地调用它。

一旦您有了Java应用程序并指向了它的目的地，该服务就会"充当"该代理的代理。 html5应用程序。 将使用与您的应用程序相同的用户对服务进行身份验证。 但是，在内部，它将使用客户端ID/秘密从SCP检索令牌-然后仅使用该特定令牌对API进行进一步调用。 我知道这有点尴尬，但这是通过OAuth2保护API访问的唯一方法。

在使用它之前，请不要忘记在代码中检查该令牌的有效期。 如果已过期，则必须请求一个新的。

我相信有一个更简单的解决方案可以解决您的问题。 如果要使用更简单的REST服务，请查看以下博客：

https://blogs.sap.com/2016/05/24/reading-the-user-info-from-an-external-application/

此处记录在此：

https://help.sap.com/viewer/65de2977205c403bbc107264b8eccf4b/Cloud/zh-CN/1de599bf722446849d2b2e10132df42a.html

您还可以为新的Cloud Foundry模型做准备，并使用Cloud SDK开发自己的服务实现 Apis，通过使用UserAssessor请求当前登录的用户并从平台检索各种信息。 这种方法对Neo和CF均适用。 请看以下示例：

https://github.com/SAP/cloud-s4-sdk-examples/blob/master/App2App/converter/application/src/main/java/com/mycompany /ConverterServlet.java

最好的问候，
伊万

嗨伊万，

感谢您的回复。 我想按照您的建议用作REST API。 是否可以连同客户端ID和密码一起调用此API？ 如果是，您能指导我吗？

此致

Vamshi Krishna。