ABAP CDS Access Control 实战参考，DCL 如何把权限前移到数据模型

我最近在整理 ABAP CDS View 的安全边界时，最容易踩到的坑不是 DCL 语法本身，而是团队对它的定位不统一。有的人把它当成 Open SQL 后面偷偷追加的WHERE条件，有的人把它当成 PFCG 的另一种写法，也有人以为只要底层 Interface View 做了 DCL，上层 Consumption View、RAP Projection View、OData 暴露层就天然安全。真正落到 S/4HANA 项目里，ABAP CDS Access Control 更像是数据模型层的一道闸门，它不替代业务应用权限，也不替代事务启动权限，但它能把行级数据过滤放到 CDS Entity 被读取的那一刻，让读访问不再完全依赖每个调用方自觉写AUTHORITY-CHECK。

SAP 官方文档把 ABAP CDS 的权限控制定义在 CDS Access Control 体系里，通过 DCL，也就是 Data Control Language，声明访问规则。只要 CDS Entity 上存在有效的 CDS Role，并且访问路径触发隐式权限检查，ABAP SQL 读取时就只返回满足访问条件的数据。SAP 的 ABAP Data Models 文档也明确提到，CDS Access Control 用define role定义 CDS Role，Role 中通过grant select on为某个 CDS Entity 定义访问规则，访问条件可以基于字面量、经典授权对象，也可以基于用户相关信息。(