О маркертокенах ArcGIS

ArcGIS Server имеет механизм авторизации с помощью маркертокенаов, благодаря которому пользователи могут авторизоваться, используя маркертокен, а не имя пользователя и пароль. МаркерТокен в ArcGIS — это строка зашифрованной информации, содержащая имя пользователя, время окончания действия маркертокена и другую специальную информацию. Чтобы получить маркертокен, пользователь предоставляет корректные имя пользователя и пароль. ArcGIS Server проверяет их и выдает маркертокен. Пользователь предоставляет маркертокен каждый раз, когда хочет получить доступ к защищенному ресурсу.

Свойства маркертокена

Срок службы маркертокена

Чтобы обеспечить безопасность маркертокена, у каждого маркертокена ограничен срок действия. Если использовать маркертокен с истекшим сроком, конечный пользователь получит сообщение об истечении срока или другое сообщение об ошибке.

МаркерТокены с более коротким периодом действия являются более безопасными, поскольку, если такой маркертокен будет перехвачен злоумышленником, тот не сможет долго им пользоваться. Однако более короткий срок действия маркертокена означает, что новые маркертокены придется запрашивать чаще.

Два параметра, определяющие срок действия выданных маркертокенов:

  • Срок действия краткосрочные маркертокенов (Lifespan of Short-lived Tokens): когда клиент запрашивает маркертокен, но не указывает срок его действия, будет выдан краткосрочный маркертокен. Выданный маркертокен можно может использоваться только в течение времени, указанного в этом свойстве. Если клиент запрашивает маркертокен со сроком действия меньше чем настройка срока действия краткосрочного маркертокена, будет выдан маркертокен с запрашиваемым сроком действия.
  • Срок действия долгосрочных кодов (Lifespan of Long-lived Tokens): когда клиент запрашивает код с определенным сроком действия, этот срок действия сравнивается с периодом, определенным этим свойством. Если запрошенный срок действия меньше чем срок действия долгосрочного маркертокена, будет выдан маркертокен с запрашиваемым сроком действия. Если запрошенный срок действия превышает срок действия долгосрочного маркертокена, будет возвращена ошибка, указывающая, что запрошенный срок действия превышает максимальный допустимый срок действия маркертокена.

Определение общего ключа

МаркерТокен в ArcGIS — это строка зашифрованной информации. Общий ключ — это криптографический ключ, используемый для генерирования этой зашифрованной строки. Чем сложнее общий ключ, тем труднее злоумышленнику взломать шифр и расшифровать общий ключ. Если пользователь может расшифровать общий ключ, скопировать алгоритм шифрования в ArcGIS for Server и получить список зарегистрированных пользователей, он сможет создать маркертокены и получать доступ ко всем защищенным ресурсам на этом ArcGIS for Server.

Перед определением открытого ключа примите во внимание следующее:

  • Общий ключ должен быть настроен на использованиеиметь длину 16 символов (все остальные символы после 16-го не используются). Рекомендуется использовать для ключа случайную последовательность символов. Можно использовать любые символы, в том числе и не буквенно-цифровые.
  • В качестве ключа нельзя использовать словарное слово или общепринятое значение, которое легко угадать. Поскольку ключ не нужно запоминать или использовать где-либо, сложная комбинация не вызовет проблем, как это бывает с паролями.
  • МаркерТокены шифруются общим ключом с помощью улучшенного стандарта шифрования (Advanced Encryption Standard, AES), также известного как Rijndael. 16 символов в ключе представляют 128 бит, используемых для шифрования. Дополнительные сведения о шифровании и AES можно получить по ссылкам о безопасности или проконсультировавшись с кем-нибудь в организации, кто хорошо разбирается в безопасности и шифровании.
  • В хорошо защищенных средах рекомендуется периодически изменять открытый ключ. Помните, что изменение открытого ключа может потребовать обновления ваших приложений для его использования. Все существующие внедренные токены перестанут работать после изменения открытого ключа.

Безопасная передача маркертокенов

Чтобы предотвратить перехват и злоупотребление маркертокенами, рекомендуется использовать безопасное подключение по HTTPS (Secure Sockets Layer или SSL). Использование HTTPS/SSL гарантирует, что имя пользователя и пароль, отправленные с клиентского компьютера, и маркертокен, получаемый с ArcGIS Server, не будут перехвачены.

5/16/2014