SAP AS ABAP 登录与密码安全,一次标准认证背后的完整安全链路
我今天看 SAP AS ABAP 的登录安全时,最容易被忽略的不是密码长度,也不是复杂度规则,而是标准登录这一瞬间背后那条非常长的检查链。一个用户在 SAP GUI 里输入 Client、User、Password,表面上只是一次普通登录,系统里面却已经开始判断这个账号是否具备密码、是否允许密码登录、是否被管理员锁定、是否因为连续输错密码而被系统锁定、Client、用户名和密码组合是否正确,以及密码是否处在初始、过期或被管理员重置后的状态。SAP 官方文档把这种方式称为标准认证,用户通过 User ID 和 Password 进入系统,系统会围绕上述条件完成一组连续校验。(SAP Help Portal)
标准登录不是一个密码比对动作
在很多项目里,我们容易把登录理解成密码是否正确。这个理解太窄。SAP AS ABAP 的标准认证更像一个闸机系统,密码只是其中一张通行票。闸机还要看票是否有效,账号是否允许走密码登录通道,账号是否被管理员人工关停,账号是否被系统因为安全风险临时关停,甚至还要看这张票是不是临时票,是否需要进站后马上换成正式票。
这套设计对企业系统很重要。SAP 系统里通常挂着 FI、MM、SD、PP、WM、EWM、HCM 等核心业务,单个 Dialog 用户背后可能有付款审批、价格维护、供应商主数据维护、