在本博客中，让我们探讨如何实现OAuthJWT承载流（即使用JWT作为授权授予来请求访问令牌），从SAPCPI到授权服务器。我们将使用Salesforce集成作为一个用例，个人云服务器，SAP CPI充当客户机，Salesforce同时充当授权和资源服务器。

Salesforce有用于集成的SOAP和restapi。SOAP API使用登录会话进行保护，restapi使用OAUTH进行保护。Salesforce支持各种OAUTH身份验证流，淘客软件，物联网传感器，以支持广泛的客户端到平台。JWT Bearer就是其中之一，

JWT Bearer Token Flow也是Salesforce推荐的服务器到服务器API集成流程。此流还可用于传播身份（通过用户模拟）。

在进一步讨论实现细节之前，我想列出博客对其他Salesforce集成选项的引用。

使用SOAP API集成

HCI-使用HCI集成Salesforce（SFDC）-第1部分和第2部分HCI-使用HCI集成SalesForce（SFDC）-Bhavesh Kantilal第2部分

使用Rest API集成-OAUTH密码流

HCI-使用HCI集成SalesForce-使用Rafael Cabrera的Rest API

关于JWT承载流

在OAUTH中，客户端使用授权来获取访问令牌。定义了几种授权授予类型，以支持广泛的客户端类型和用户体验。

OAUTH的JWT承载流使客户端能够利用现有的信任关系（1），智能物联，通过JWT（2）的语义表示，在授权服务器（3）上获取访问令牌而无需直接用户批准步骤。

在本博客的上下文中，我们通过

实现JWT承载流。然后，通过生成头授权承载

在资源调用期间使用访问令牌。注：访问令牌通常在设置的持续时间之后过期。应使用JWT获取新的访问令牌，因为此流从不发出刷新令牌。

端到端流

要设置端到端工作流，我们需要完成以下3项任务。

信任设置–SAP CPI和SFDC之间主流程–使用RESTAPI对Salesforce SObjects执行CRUD操作令牌流–创建一个短暂的JWT并获取访问令牌。

此博客将围绕信任设置、主流和下一个博客讨论令牌流。

信任设置

这是一个两步过程。

在SAP CPI中生成密钥对在Salesforce中注册一个已连接的应用程序以表示SAP CPI并关联X.509证书

此步骤是创建一个证书对来签名和验证JWT。

从Keystore Monitor中选择create–>Key pair。

注意：这将创建一个自签名证书对，这对于生产环境来说是足够的，免费网站自助建站，但不可取的。因此，获取由CA签名的证书是一种很好的做法。证书颁发机构没有任何限制，因为证书不用于SSL握手，就像在相互身份验证的情况下一样。

通过选择Download–>Certificate下载公共证书（X.509）。

从Salesforce Classic UI设置页面选择Create–>Apps–>新建（已连接的应用程序）输入应用程序名称并选中"启用OAuth设置"选中"使用数字签名"复选框并上载从SAP CPI下载的X.509证书。如图所示选择OAuth范围并保存应用程序。

保存后生成使用者密钥。将此保存在SAP CPI Secure Store中，作为名为"SFDCClientCred"的用户凭据。

单击管理–>从已连接的应用程序中编辑策略，并按如下所示进行配置

返回到已连接的应用程序管理UI，选择将使用此应用程序的一个/所有配置文件。

主流

下面是主流的快照。它接收HTTP请求并使用Salesforce Rest API获取客户