ABAP权限检查，TCode与权限对象进行关联

最新推荐文章于 2025-06-26 11:51:46 发布

原创

最新推荐文章于 2025-06-26 11:51:46 发布 · 1.4k 阅读

3 ·

CC 4.0 BY-SA版权

本文详细介绍了如何在SAP系统中使用Tcode SU21维护权限对象，如'M_MSEG_WMB'，并关联字段'WERKS'。通过ABAP代码示例，展示了如何在程序YTEST_13_001中实现权限检查，包括选择屏幕、权限对象检查及异常处理。同时，讲解了如何通过SE93创建TCode，以及如何在SU22中将TCode与权限对象关联。

一、确认权限对象，和关联字段：

Tcode：SU21 维护权限对象
例如"M_MSEG_WMB",它关联字段为'WERKS'
M_MSEG_WMB 物料凭证：工厂

二、在ABAP代码中添加权限检查代码：

PROGRAM YTEST_13_001.

Tcode：SE38

TYPES: BEGIN OF ty_check_au,
werks TYPE mseg-werks,
END OF ty_check_au.
DATA: wa_check_au TYPE ty_check_au,
it_check_au TYPE TABLE OF ty_check_au.

AT SELECTION-SCREEN.
* 在此进行权限对象的检查
SELECT
werks
FROM mseg
INTO TABLE it_check_au
WHERE mblnr IN s_mblnr AND
werks = p_werks
AND mseg~bwart IN ('101','102','105','106').

LOOP AT it_check_au INTO wa_check_au.

AUTHORITY-CHECK OBJECT 'M_MSEG_WMB'
         ID 'ACTVT' FIELD '01'
         ID 'WERKS' FIELD wa_check_au-WERKS.
IF SY-SUBRC <> 0.
* Implement a suitable exception handling here
  MESSAGE E000 WITH '您没有工厂' LW_MARC-WERKS '的权限'.
ENDIF.

CLEAR wa_check_au.
ENDLOOP.

AUTHORITY-CHECK OBJECT 'M_MSEG_WMB'
         ID 'ACTVT' FIELD '01'
         ID 'WERKS' FIELD wa_check_au-W

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

SAPmatinal

关注关注

0
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

SAP_ABAP_程序权限之——SU20_SU21_SU02_PFCG_权限字段_权限对象_参数文件_角色的创建流程

java_zhong1990的专栏

09-13

3201

SU20 权限字段创建 | SU21 创建权限对象 | SU02 创建参数文件 | PFCG 创建角色的使用

SAP-ABAP：SAP 权限对象与角色详解

baidu_35680696的博客

03-14

1051

SAP的权限管理通过权限对象定义访问规则，角色整合这些规则并分配给用户，参数文件则是权限的最终载体。合理配置角色和权限对象是确保系统安全与合规的关键。定期审计和遵循最小权限原则能有效降低安全风险。Q：权限冲突如何解决？

参与评论您还未登录，请先登录后发表或查看评论

ABAP开发-权限控制

weixin_52203666的博客

12-24

1785

SAP系统权限：某SAP操作用户能在SAP系统中做哪些操作通俗来讲就是，用户A只能查看物料信息，在SAP系统中就分配事务码MM03给A,SAP的权限控制是控制到字段级的，即：其权限控制机制可以检查你是否有权限维护某张透明表的某一个字段用户User:具体操作SAP系统的用户，使用事务码SU01创建新的用户ID，默认的权限是空白的，不允许任何操作角色：权限管理系统中的一个中间层，用于将用户与权限关联起来。角色通常代表了一组具有相同职责和权限的用户集合。

SAP ABAP权限控制中常用TCODE

SAP ABAP开发技能记录分享

11-21

1955

SU24，可以查看某个TCODE包含的权限对象并修改其检查状态。利用SU21创建权限对象Z_TEST，在程序中检查授权。如果这个字段在SU20没有，需要先创建。对应的表为 usobx和usobx_c。运行完程序后立即用SU53查看。编辑->插入权限->手工输入。权限控制中的几个TCODE。给授权角色分配权限对象。SUIM 用户信息系统。SU01D 用户显示。

检查tcode 对应的角色和用户

SAP BLOG

06-10

4360

如果要找一下某个tocde 权限对应在哪些角色中，通过PFCG-事务-输入tcode，执行-可以观察结果

ABAP判断T-CODE与program是否存在

03-05

709

1、判断Program是否存在 <!-- span {font-family:"Courier New"; font-size:10pt; color:#000000; background:#FFFFFF} .L0S31 {font-style:italic; color:#808080} .L0S32 {color:#3399FF} .L0S33

SAP权限对象的校验

weixin_33755847的博客

03-25

1848

什么是权限对象？还是直接打开SAP用事务码SU21看看权限对象长什么样子使用事务码SU21可以查看SAP系统中所有的（系统自带的or自定义的）权限对象，【权限对象】中配置了【权限字段】现在我们看到了权限对象是什么东东，那么，我们如何在代码中对权限对象进行检验，从而做到对不同的权限，进行不同的编码呢？第一、我们SAP系统中有2个用户，用户名分别是TEST0...

abap权限检查的详细步骤

03-02

在ABAP编程中，权限控制是确保数据安全和系统稳定性的重要...总的来说，ABAP权限检查涉及到创建授权对象、维护事务代码、编写权限判断代码以及用户授权等多个步骤。理解并正确实施这些步骤是确保系统安全性的重要实践。

个人常用ABAP Tcode

一叶馒头的博客

06-03

3304

如何查找全部事务码 1. se11–>数据库表:tstc或tstct–>工具栏:显示内容 –>输入条件:se等即可查询事务码 2. se93–>事务代码:se等即可查询 SAP错误消息调试之七种武器：让所有的错误消息都能被定位 - 简书 https://www.jianshu.com/p/5f91a0cb6fb5 /n 当前窗口, /o新建窗口, /h激活调试, 强制调试(写入txt文档,并拖入窗口) [Function] Command=/H Type=SystemComman

SAP-ABAP：如何查询 SAP 事务码（T-Code）被包含在哪些权限角色或权限对象中

baidu_35680696的博客

06-23

1663

SAP 事务码（T-Code）被包含在哪些权限角色或权限对象中

AUTHORITY-CHECK OBJECT檢查用戶是否TCODE的使用權限

clklu7842的博客

05-17

525

AUTHORITY-CHECK OBJECT 'S_TCODE' ID 'TCD' FIELD . IF SY-SUBRC <> 0. MESSAGE '沒有的使用權限'. leave to screen 0 ...

查找Tcode与权限对象的对应关系

cuibao0922的博客

09-14

776

第一步，先进入se93，也就是维护事务代码的tcode。第二步，找到Tcode对应的程序。见下图。第三步，双击程序，进入程序（se38）界面。第四步，点击查找按钮。这是关键，需要输入查找的关键...

SAP对T-Code权限检查过程

cuiyiyi0633的博客

12-08

772

When initiating a transaction, a system program performs a series of checks to ensure the user is authorized....

SAP权限对象设计与权限检查

qq_36296311的博客

01-31

2636

SAP权限对象设计与权限检查

SAP权限检查

热门推荐

qq_36952606的博客

05-06

1万+

SAP T-CODE整理总结

实例：ABAP权限对象设计与权限检查的实现(详细)

matinal 當冬夜漸暖。公众号：matinal

04-02

1566

创建权限对象，使分配这个权限的用户只能操作部门编号（edept）为 ‘10’ 的数据。 1. SU20，创建权限字段　　 2. SU21，创建权限对象　　1.首先创建对象类，输入对象类名称(ZEM1)、文本(FOR TEST)，点击“保存” 2.找到之前创建的对象类，可以鼠标右键创建权限对象 3. SU02，创建参数文...

ABAP 权限检查不需要的字段

04-03

<think>好的，我现在需要回答用户关于在ABAP中进行权限检查时如何忽略不必要的字段的最佳实践的问题。首先，我得回顾一下用户提供的引用内容，看看有没有相关的信息。引用中提到了数据库字段名、SELECT语句的结构以及权限锁定相关的排他锁定模式，但并没有直接提到权限检查的具体方法。不过，可能有些间接相关的点可以利用。用户的问题是关于权限检查时忽略不必要字段的最佳实践。在ABAP中，权限检查通常与授权对象（Authorization Objects）相关，用户需要检查是否有权限访问特定的数据。这可能涉及到使用AUTHORITY-CHECK语句，并且可能需要处理多个字段。忽略不必要的字段可能意味着在检查时只关注关键字段，而跳过那些不影响权限判断的字段。首先，我需要回忆ABAP权限检查的基本机制。权限对象由多个字段组成，例如，一个权限对象可能包含公司代码、活动（如查看、修改）等字段。当执行AUTHORITY-CHECK时，需要指定权限对象和对应的字段值。如果某些字段在特定场景下不需要检查，可能需要将它们设为通配符（例如*），表示接受任何值。然后，考虑用户提到的“忽略不必要的字段”。这可能是指在构造权限检查的条件时，只指定必要的字段，而其他字段使用通配符。例如，如果权限对象有三个字段，但当前操作只关心其中两个，那么第三个字段可以用'*'来忽略，这样在检查时就不会限制该字段的值。接下来，需要确认是否有相关的ABAP语法或最佳实践支持这种做法。根据记忆，AUTHORITY-CHECK语句中的字段确实可以设置为通配符，允许开发人员灵活地定义需要检查的字段。例如： AUTHORITY-CHECK OBJECT 'Z_OBJ' ID 'FIELD1' FIELD p_field1 ID 'FIELD2' FIELD '*' ID 'FIELD3' DUMMY. 这里，FIELD2被设置为通配符，而FIELD3可能使用DUMMY关键字来跳过检查，不过需要验证是否正确。或者，是否应该直接赋值为'*'。另外，需要注意权限对象的结构。每个权限对象的字段都有定义，如果某些字段在检查时不重要，应当在代码中显式地忽略它们，而不是留空。否则，系统可能会要求这些字段必须有值，导致权限检查失败。可能还需要考虑动态指定字段，根据不同的场景选择需要检查的字段。例如，使用循环结构来构建AUTHORITY-CHECK语句，只包含必要的字段，而排除不需要的。这需要动态生成ID和FIELD参数，可能比较复杂，但能提高灵活性。此外，引用中的SELECT语句可能与数据检索时的权限控制有关。例如，在从数据库读取数据时，可能需要结合WHERE子句来过滤用户有权访问的记录。这时，忽略不必要的字段可能指在构建WHERE条件时，只包含权限相关的字段，而不是所有可能的字段。例如，如果用户有权限访问某个公司代码，那么查询时自动添加COMP_CODE = 'XXXX'的条件，而其他字段如成本中心可能不需要在此处考虑，或者由其他权限对象处理。关于最佳实践，可能需要参考SAP官方文档或社区建议。例如，建议在定义权限对象时，只包含必要的字段，避免过度复杂化。在检查时，明确指定需要验证的字段，不需要的字段设为通配符。同时，确保在代码中处理所有必要的权限对象，避免安全漏洞。另外，用户提到的引用中关于排他锁定的部分可能与权限检查时的数据锁定有关，但具体如何关联还不清楚。可能需要排除这部分，专注于权限检查本身。总结一下，可能的步骤包括： 1. 确定权限对象中需要检查的关键字段。 2. 在AUTHORITY-CHECK语句中，将不需要的字段设为通配符'*'。 3. 使用动态方法根据需要构建检查条件，避免硬编码所有字段。 4. 确保权限对象的定义合理，不包含冗余字段。 5. 在数据检索时，通过WHERE子句自动应用权限过滤，减少不必要的数据暴露。需要验证这些步骤是否符合ABAP的最佳实践，特别是关于通配符和DUMMY的使用是否正确。例如，某些情况下可能需要使用DUMMY关键字来跳过字段，但根据我的记忆，更常见的是设置为'*'，而DUMMY可能用于不同的上下文，比如在SELECT语句中填充结构体，但不确定是否适用于AUTHORITY-CHECK。另外，可能需要注意，使用通配符可能会放宽权限，因此需要确保业务上允许这样做。例如，如果某个字段被忽略，用户可能拥有更广泛的权限，这需要符合安全策略。最后，可能需要给出具体的代码示例，展示如何正确忽略字段，并引用相关的文档或最佳实践来源，但由于用户提供的引用中没有直接相关的信息，可能需要说明基于一般ABAP开发经验。</think>在ABAP中进行权限检查时忽略不必要字段的最佳实践可以通过以下步骤实现： ### 1. **理解权限对象结构** ABAP权限检查基于**授权对象**，每个对象包含若干字段（例如公司代码、活动类型等）。通过`AUTHORITY-CHECK`语句验证用户是否具备特定字段值的权限。例如： ```abap AUTHORITY-CHECK OBJECT 'Z_MATERIAL' ID 'ACTVT' FIELD '03' " 活动类型：显示 ID 'WERKS' FIELD '1000'. " 工厂代码 ``` ### 2. **使用通配符忽略非关键字段** 对于不需要检查的字段，**使用`*`通配符**表示接受任意值，从而跳过对该字段的权限验证： ```abap AUTHORITY-CHECK OBJECT 'Z_MATERIAL' ID 'ACTVT' FIELD '03' ID 'WERKS' FIELD '*'. " 忽略工厂代码的检查 ``` 此配置表示用户只需拥有`ACTVT=03`的权限，无论`WERKS`字段的值如何[^1]。 ### 3. **动态构建权限检查条件** 通过**动态生成`AUTHORITY-CHECK`参数**，灵活控制需要检查的字段。例如，根据业务场景仅检查必要字段： ```abap DATA: lt_fields TYPE TABLE OF usact-s_actvt. APPEND 'ID ACTVT FIELD ''03''' TO lt_fields. " 仅检查活动类型 APPEND 'ID WERKS FIELD ''*''' TO lt_fields. " 忽略工厂代码 CALL FUNCTION 'AUTHORITY_CHECK_TCODE' EXPORTING tcode = 'MM03' activity = '03' TABLES fields = lt_fields. ``` ### 4. **结合数据查询优化** 在`SELECT`语句中通过`WHERE`子句自动过滤无权限数据，减少结果集冗余字段[^5]： ```abap SELECT matnr, werks FROM mara INTO TABLE lt_data WHERE werks IN s_werks. " s_werks根据权限动态生成 ``` ### 5. **权限对象设计原则** - **最小化字段数量**：仅包含必要的权限控制字段。 - **明确字段用途**：避免将无关字段加入权限对象，例如日志字段或技术标识。 ### 6. **安全注意事项** - **谨慎使用通配符**：过度使用`*`可能导致权限范围扩大，需结合业务需求评估。 - **完整覆盖关键操作**：确保所有敏感操作（如修改、删除）均配置权限检查。