ArcGIS Server proporciona un mecanismo de autenticación basado en token propietario, donde los usuarios pueden autenticarse proporcionando un token en lugar de un nombre de usuario y contraseña. Un token de ArcGIS es una cadena de caracteres de información cifrada que contiene el nombre de usuario, el tiempo de expiración del token, y algunos datos de información confidencial. Para obtener un token, un usuario proporciona un nombre de usuario y una contraseña válidos. ArcGIS Server verifica las credenciales suministradas y emite un token. El usuario presenta este token cada vez que se accede a un recurso protegido.
Propiedades de token
Vida-útil de un token
Para mantener la seguridad del token, cada token está asociado con una fecha de expiración. El usuario final puede ver un mensaje de error de tiempo de espera u otro error si utiliza un token que expiró.
Los tokens con fechas de expiración más cortas son más seguros, ya que pueden ser robados por un usuario malicioso que puede utilizar dentro del periodo de tiempo. Sin embargo, una fecha de expiración corta significa que tienen que solicitarse nuevos tokens con más frecuencia.
Dos parámetros definen la vida útil de los tokens emitidos:
- Vida útil de tokens de corta duración: si un cliente solicita un token sin especificar un valor de fecha de caducidad, se emitirá un token de corta duración. El token emitido solo es válido para la duración definida por esta propiedad. Cuando un cliente solicita un token con un valor menor del token de corta duración, se emite un token con el valor de caducidad solicitado.
- Vida útil de tokens de larga duración: si un cliente solicita un token especificando un valor de fecha de caducidad, dicho valor será comparado con la duración definida por esta propiedad. Si el valor del tiempo solicitado es menor que la vida útil larga del token, se emite un token con el valor de caducidad solicitado. Si el valor del tiempo de espera necesario supera la configuración de la duración del token, se emitirá igualmente un token, pero con una caducidad correspondiente a esta propiedad.
Definir la clave compartida
Un token de ArcGIS es una cadena de caracteres de información cifrada. La clave compartida es la clave criptográfica que se utiliza para generar esta cadena de caracteres cifrada. Cuanto más compleja sea la clave compartida, resulta más difícil para un usuario malicioso romper el cifrado y descifrar la clave compartida. Si un usuario puede descifrar la clave compartida, replicar el algoritmo de cifrado de ArcGIS Server y obtener la lista de usuarios autorizados, el usuario deberá ser capaz de generar tokens y de consumir los recursos protegidos en dicho ArcGIS Server.
Antes de definir una clave compartida, considere lo siguiente:
- La clave compartida se debería establecer en 16 caracteres (si tiene menos de 16 no funciona). Se recomienda utilizar un conjunto de caracteres aleatorios para la clave. Se puede utilizar cualquier carácter, incluidos los caracteres que no son alfanuméricos.
- La clave no debería ser una palabra o un valor común que se adivine con facilidad. Puesto que no hay necesidad de recordar la clave o en otros lugares, la complejidad de la clave no representa los mismos problemas que las contraseñas.
- El token se cifra con la clave compartida utilizando el Estándar de cifrado avanzado (AES), también conocido como Rijndael. Los 16 caracteres de la clave representan los 128 bits utilizados para el cifrado. Para obtener más información sobre el cifrado y el AES, consulte las referencias de seguridad o a alguna persona en la organización que tenga experiencia en seguridad y criptografía.
- En entornos de muy alta seguridad, se recomienda cambiar la clave compartida periódicamente. Recuerde que si cambia la clave compartida, posiblemente necesite actualizar las aplicaciones para utilizar la nueva clave compartida. Todos los tokens incrustados existentes dejarán de ser válidos una vez que cambie la clave compartida.
Transmisión segura de tokens
Para evitar el robo y uso indebido de tokens, se recomienda utilizar una conexión segura con HTTPS. El uso de HTTPS garantiza que el nombre de usuario y la contraseña enviadas desde el cliente y el token devuelto desde ArcGIS Server no puedan ser interceptados.