О токенах ArcGIS
В этом разделе
ArcGIS Server имеет механизм авторизации с помощью токенаов, благодаря которому пользователи могут авторизоваться, используя токен, а не имя пользователя и пароль. Токен в ArcGIS – это строка зашифрованной информации, содержащая имя пользователя, время окончания действия токена и другую специальную информацию. Чтобы получить токен, пользователь предоставляет корректные имя пользователя и пароль. ArcGIS Server проверяет их и выдает токен. Пользователь предоставляет токен каждый раз, когда хочет получить доступ к защищенному ресурсу.
Свойства токена
Срок службы токена-
Чтобы обеспечить безопасность токена, у каждого токена ограничен срок действия. Если использовать токен с истекшим сроком, конечный пользователь получит сообщение об истечении срока или другое сообщение об ошибке.
Токены с более коротким периодом действия являются более безопасными, поскольку, если такой токен будет перехвачен злоумышленником, тот не сможет долго им пользоваться. Однако более короткий срок действия токена означает, что новые токены придется запрашивать чаще.
Срок жизни выданных токенов-определяют два параметра:
- Срок службы краткосрочных токенов: когда клиент запрашивает токен, но не указывает срок окончания его действия, будет выдан краткосрочный токен. Выданный токен можно может использоваться только в течение времени, указанного в этом свойстве. Если клиент запрашивает токен со сроком действия, истекающим до окончания срока службы краткосрочного токена-, будет выдан токен с запрашиваемым сроком действия.
- Срок действия долгосрочных кодов (Lifespan of Long-lived Tokens): когда клиент запрашивает код с определенным сроком действия, этот срок действия сравнивается с периодом, определенным этим свойством. Если запрошенный срок действия истекает раньше, чем срок службы долгосрочного токена-, будет выдан токен с запрашиваемым сроком действия. Если запрошенный срок действия превышает срок действия долгосрочного токена-, будет возвращена ошибка, указывающая, что запрошенный срок действия превышает максимальный допустимый срок службы токена-span.
Определение общего ключа
Токен в ArcGIS – это строка зашифрованной информации. Общий ключ – это криптографический ключ, используемый для генерирования этой зашифрованной строки. Чем сложнее общий ключ, тем труднее злоумышленнику взломать шифр и расшифровать общий ключ. Если пользователь может расшифровать общий ключ, скопировать алгоритм шифрования ArcGIS Server и получить список зарегистрированных пользователей, он сможет создать токены и получать доступ ко всем защищенным ресурсам именно на этом сайте ArcGIS Server.
Перед определением открытого ключа примите во внимание следующее:
- Общий ключ должен быть настроен на длину 16 символов (символы после 16-го не используются). Рекомендуется использовать для ключа случайную последовательность символов. Можно использовать любые символы, в том числе и не буквенно-цифровые.
- В качестве ключа нельзя использовать словарное слово или общепринятое значение, которое легко угадать. Поскольку ключ не нужно запоминать или использовать где-либо, сложная комбинация не вызовет проблем, как это бывает с паролями.
- Токены шифруются общим ключом с помощью улучшенного стандарта шифрования (Advanced Encryption Standard, AES), также известного как Rijndael. 16 символов в ключе представляют 128 бит, используемых для шифрования. Дополнительные сведения о шифровании и AES можно получить по ссылкам о безопасности или проконсультировавшись с кем-нибудь в организации, кто хорошо разбирается в безопасности и шифровании.
- В хорошо защищенных средах рекомендуется периодически изменять открытый ключ. Помните, что изменение открытого ключа может потребовать обновления ваших приложений для его использования. Все существующие внедренные токены перестанут работать после изменения открытого ключа.
Безопасная передача токенов
Чтобы предотвратить перехват и злоупотребление токенами, рекомендуется использовать безопасное подключение по HTTPS (Secure Sockets Layer или SSL). Использование HTTPS/SSL гарантирует, что имя пользователя и пароль, отправленные с клиентского компьютера, и токен, получаемый с ArcGIS Server, не будут перехвачены.