购物车OCC网址 - EasySAP

SAP Commerce Cloud occ

购物车OCC网址

2020-09-13 04:19发布

站内问答 / SAP Cloud

1992 4

点击此处---> 群内免费提供SAP练习系统（在群公告中）

加入QQ群：457200227（SAP S4 HANA技术交流）群内免费提供SAP练习系统（在群公告中）

你好

我正在使用以下网址使用浏览器中生成的guid获取匿名用户的购物车信息。

https：//localhost： 9002/rest/v2/electronics/users/anonymous/carts/b4e128c0-6c4b-449a-8c9b-ea80a9bb711f

如果我尝试在另一台能够获取购物车信息的机器上访问上述网址。

在上述情况下，某些人可以破解该URL并获取购物车信息。如何确保上述网址仅对该用户有效，而对其他用户无效？

购物车网址也同样如此。

https：//localhost：9002/rest/v2/electronics/users/abcd@abcd.com/carts/00004000

以上网址需要用户的电子邮件地址和购物车ID才能获取购物车信息。如何保护用户名和购物车ID，以便其他人无法使用上述网址访问购物车信息。

上述url必需的令牌将使用以下url https：//localhost：9002/authorizationserver生成/oauth/token

再次使用上述网址获取令牌，您需要传递客户端ID和秘密ID（基本上是用户名和密码）。

如何保护OCC网址仅对该用户有效，如果有人入侵并尝试使用该网址，则该密码对其他用户无效。

任何帮助将不胜感激。

4条回答

1楼-- · 2020-09-13 04:19

您好，要获取oAuth，您将以安全的POST方法发送详细信息，因此无需担心丢失您的身份。为了通过OCC V2获取购物车信息，您需要标题中的授权，该标题可以是trusted_client或Customer或Customer_manager。这将根据您在获取oAuth令牌时使用的属性分配，并且OCC是少会话协议，一旦它提供响应，它将终止会话。

葫芦娃快救爷爷

2楼-- · 2020-09-13 04:42

要添加到该内容：如果您使用普通的，不受信任的客户端，请运行 password 或 authorization code OAuth2流，在该流中客户使用其凭据登录。这将产生仅对该特定客户有效的令牌。

3楼-- · 2020-09-13 04:37

感谢您的快速回复Avinash。请参阅附件。

（1）我使用邮递员创建了令牌，并将该令牌与2个pc的以下网址一起使用

https：//localhost：9002/rest/v2/electronics/users/abcd@abcd.com/carts/00004000

我能够从两台PC上获取购物车信息。这意味着有人可以破解通过网址部分传递的令牌ID，用户名和购物车ID？

（2）下面的URL用于使用guid为匿名用户获取购物车信息。该URL在2个差异PC上尝试过，并能够获取购物车信息

https：//localhost： 9002/rest/v2/electronics/users/anonymous/carts/b4e128c0-6c4b-449a-8c9b-ea80a9bb711f

我在这里错过了什么吗？我期望从anohter pc尝试时它应该返回任何数据，因为OCC调用应该无效

预先感谢

[1]：/storage/temp/11494-token-generation.png

4楼-- · 2020-09-13 04:28

如果您拥有有效的令牌，则无论请求来自何处，都可以访问资源。 OAuth2应该就是这样工作的！令牌是需要保护的秘密，而不是URL。

anonymous 用户是一种特殊情况，在这里您只要知道GUID就可以访问cs，因为否则您必须先登录才能将任何东西添加到购物车中。而且，由于匿名用户是匿名用户，因此您不需要保护任何秘密信息。

一周热门更多>

点击此处---> 一起学习S4 HANA ...

相关问答