很多团队在做 SAP 集成时,真正卡住的并不是 SOAP 报文怎么发出去,而是接口明明能连通,认证却总在边界位置出问题。外部平台传了 HTTP Basic,服务端偏偏要求WS Security UsernameToken。证书已经导进去了,请求还是过不了。SOAMANAGER里配置看起来没错,到了 ICF 和 SOAP runtime 之间又出现用户切换。把这些点拆开看,Authentication for Web Services讲的其实就是一件事,你到底准备把身份信息放在 HTTP 这一层,还是放在 SOAP 消息这一层,以及这两种做法在 AS ABAP 里分别会落到哪些配置面上。(SAP Help Portal)在 SAP 官方模型里,Web service 客户端有两条主路可走。一条是HTTP Authentication,也就是把认证信息放进 HTTP 头。另一条是Message Authentication,也就是把安全令牌放进WS Security头。前者更接近传统 Web 访问的思路,后者则是 SOAP 世界里更完整的消息级安全方案。官方文档把这两条路径并列列出,而且明确指出,不