Désactivation de l'acquisition des jetons via des requêtes GET HTTP

Lorsque vous utilisez l'authentification ArcGIS à base de jetons, vous pouvez acquérir un jeton via une requête GET HTTP. Bien que ce mode d'acquisition des jetons soit pratique, les informations d'identification d'un utilisateur sont indiquées dans l'URL et peuvent être stockées dans l'historique du navigateur ou dans les composants réseau.

Si les implications en matière de sécurité de l'acquisition d'un jeton via une requête GET HTTP vous inquiètent, vous pouvez désactiver cette fonctionnalité en procédant comme suit.

Etapes :
  1. Connectez-vous au répertoire d'administrateur d'ArcGIS Server. L'URL est au format suivant : http://gisserver.domain.com:6080/arcgis/admin.
  2. Cliquez sur sécurité > jetons > mettre à jour.
  3. Dans la boîte de dialogue de configuration du gestionnaire des jetons, ajoutez une virgule (,) à la fin de la propriété "shortTimeout": "60".
  4. Ajoutez "allowHttpGet": "false" à la fin de la liste des valeurs de propriété existantes, par exemple,

    {
      "type": "BUILTIN",
      "properties": {
        "longTimeout": "1440",
        "sharedKey": "VYHyatfGUlFWHgnAVMEc40nL1rn7s+l190vtgMjCx3c=",
        "shortTimeout": "60",
        "allowHttpGet": "false"
      }
    }
    

  5. Cliquez sur Mettre à jour.
5/10/2014