今天在 ABAP 系统里把外部 API 接进来,已经很少再有人愿意把用户名和密码硬编码到程序里。一个销售订单同步、一个 SuccessFactors 员工主数据读取、一个 Google Sheets 导出,背后真正要打通的并不是一段 HTTP 代码,而是一整套身份委托链路。ABAP 程序不再直接拿着业务用户的密码去访问外部服务,而是通过 OAuth 2.0 client,在服务提供方授权服务器那里换取 access token,再用这个 token 去访问受保护资源。OAuth 2.0 的核心规格 RFC 6749 把它定义为一种让第三方应用获取有限 HTTP 服务访问权限的授权框架,可以代表资源所有者访问,也可以让应用以自身身份访问。它的关键价值是把资源访问、用户授权、token 签发和实际 API 调用拆开处理,而不是把所有安全责任压在一个密码字段上。(IETF Datatracker)放到 SAP ABAP 语境里,OAuth 2.0 client 配置不是一个单点动作。它会牵涉 ABAP 平台开发人员、服务提供方管理员、ABAP 平台管理员、业务最终用户。每个角色都握着一块拼图,少一块,整个外呼链路就会卡在授权、token、证书、scope 或用户映射某个环节。从一个真实的 ABAP 外呼链路切进去我们先把场景落到一个常见项目上。S/4HA