禁用基于 HTTP GET 请求的令牌获取

当使用基于 ArcGIS 令牌的身份验证时,可通过一个 HTTP GET 请求来获取令牌。尽管通过此方式获取令牌非常便利,但用户的凭据会作为 URL 的一部分进行提供,并可能会存储到浏览器历史记录或网络组件中。

如果您对通过 HTTP GET 请求获取令牌存在的潜在安全问题感到担忧,则可按以下步骤禁用此功能。

步骤:
  1. 登录到 ArcGIS Server 管理员目录。URL 地址格式为 http://gisserver.domain.com:6080/arcgis/admin
  2. 单击安全 > 令牌 > 更新
  3. 令牌管理器配置对话框中,在 "shortTimeout": "60" 属性末尾添加一个逗号 (,)。
  4. 在现有属性值列表的末尾添加 "allowHttpGet": "false",例如

    {
  "type": "BUILTIN",
  "properties": {
    "longTimeout": "1440",
    "sharedKey": "VYHyatfGUlFWHgnAVMEc40nL1rn7s+l190vtgMjCx3c=",
    "shortTimeout": "60",
    "allowHttpGet": "false"
  }
}

  5. 单击更新
Copyright © 1995-2014 Esri. All rights reserved.
6/13/2014