Security 避免SAP OCI punchout参数中的纯文本密码
当使用SAP的OCI punchout时,连接到供应商系统似乎首先点击一个URL,该URL包含作为纯文本参数的供应商系统的用户和密码。有没有办法让这更安全?即使使用了https,用户和密码也可以在日志等中看到Security 避免SAP OCI punchout参数中的纯文本密码,security,sap-srm,Security,Sap Srm,当使用SAP的OCI punchout时,连接到供应商系统似乎首先点击一个URL,该URL包含作为纯文本参数的供应商系统的用户和密码。有没有办法让这更安全?即使使用了https,用户和密码也可以在日志等中看到 似乎可以加密密码(和用户名)。这不太好,因为有人可以重用它,但最好是将密码保留为纯文本。这样做了吗?SAP支持它吗?人们使用的其他方法解决这个问题吗?通常的做法是将用户名和密码参数作为帖子正文的一部分发送,这样它们就不会出现在URL中。在传输过程中使用HTTPS将加密密码 但是,这仍然不安
似乎可以加密密码(和用户名)。这不太好,因为有人可以重用它,但最好是将密码保留为纯文本。这样做了吗?SAP支持它吗?人们使用的其他方法解决这个问题吗?通常的做法是将用户名和密码参数作为帖子正文的一部分发送,这样它们就不会出现在URL中。在传输过程中使用HTTPS将加密密码
但是,这仍然不安全,因为POST请求是从最终用户的浏览器发送的,因此凭据将向最终用户公开。此处的更多信息:我简直不敢相信,但似乎即使在2017年,SAP OCI punchout的常见做法仍然是将用户和密码作为查询参数传递。。。