简介：

在帮助客户利用现有解决方案的过程中，我们正在审查ABAP CDS视图的安全方法。

在这个特定的项目中，我们使用CDS视图作为定制SAPUI5应用程序的数据基础，并且由于最初的安全角色仅基于PFCG，因此需要一种新的方法来确保数据访问的安全性是可维护的、可审核的，并且与现有的标准授权一致。

数据流审查：

UI5应用程序和后端NW堆栈之间的所有数据交换都是通过OData服务完成的。这个OData服务通过从每个实体到CDS视图的数据映射来执行所有的读取命令。这可以在每个实体的SEGW实现中找到。

CDS视图正在读取HANA建模视图的ABAP外部视图，所有过程都可以在这个图中描述：

新的访问控制文件：

为了应用这些准则，我们创建了一个新的DCL文件，链接视图（ZCDS\视图\名称）字段（auth\组和工厂）对于PFCG角色的现有对象，我们可以在下面观察到：

这样，任何给定的用户都应该分配这个对象，以便通过Odata服务进行访问。此角色可以通过ABAP权限检查的相同方式被否决，物联网应用技术是什么，因此，例如，物联网技术，具有SAP\ U ALL的用户可以访问此视图中的所有记录。

对安全性的影响：

考虑到此数据流，大数据传输，SAP建议将访问控制直接链接到CDS应用程序层，使安全行为如下：

由于我们所指的是PFCG角色已经在使用的标准对象，因此不应对BAU的维护或可审核性产生任何影响。但展望未来，此模型完全符合S4HANA最佳实践。

对性能的影响：

由于此特定客户端在SAP HANA上运行，性能将得到提高，因为安全角色将在较低和较快的层中处理。如上所述，NetWeaver堆栈替换了ABAP OpenSQL语句，添加了where子句来过滤允许的记录，与从数据库中检索所有记录，然后在NW堆栈中逐个处理的传统方法相比，NW堆栈中的I/O流和进程流减少了

对于非HANA数据库，返利机器人软件，我还没有测量它的性能，如果有经验的人能在中分享结果，大数据与数据挖掘，我将不胜感激评论。