令牌用于对门户成员进行身份验证。 当用户尝试访问门户时,需要提供用户名和密码。 ArcGIS Enterprise 会验证提供的凭据,生成令牌,并将令牌颁发给成员。
令牌是包含用户名、令牌有效期和其他专有信息的加密信息字符串。 令牌颁发给成员后,成员可在令牌有效期内访问门户。 如果到期,成员必须重新提供其用户名和密码。
门户中可以使用三种不同类型的令牌:
- ArcGIS 令牌 - 通过 sharing/rest/generateToken 端点生成的令牌。
- Oauth 访问令牌 - 通过 OAuth2 身份验证工作流生成的令牌。
- Oauth 刷新令牌 - 用于在 OAuth 访问令牌到期时生成新 OAuth 访问令牌的令牌。
生成新令牌时,建议指定此令牌的有效期。 可以选择的最大值取决于生成的令牌类型。
- ArcGIS 令牌 - 14 天(20160 分钟)
- OAuth 访问令牌(使用 Implicit 或 Client Credentials 授权类型创建)- 14 天(20160 分钟)
- OAuth 访问令牌(使用 Authorization Code 授权类型创建)- 30 分钟
- OAuth 刷新令牌 - 90 天(129600 分钟)
如果指定的有效期大于这些值,则仍会生成令牌,但其有效期与可为该类型令牌创建的最大值相匹配。 如果在生成令牌时未指定有效期,则将使用默认值,此默认值因令牌的类型而异:
- ArcGIS 令牌 - 120 分钟
- OAuth 访问令牌(使用 Implicit 或 Client Credentials 授权类型创建)- 120 分钟
- OAuth 访问令牌(使用 Authorization Code 授权类型创建)- 30 分钟
- OAuth 刷新令牌 - 2 周(20160 分钟)
这些最大和默认值无法增加,只能通过在 ArcGIS Portal Administrator Directory 中设置 maxTokenExpirationMinutes 属性来减少。 maxTokenExpirationMinutes 属性的值适用于每种类型的令牌。 如果该值小于最大值但大于默认值,则只会影响最大值,并且默认值将保持不变。 如果该值小于最大值和默认值,则这两个值都会受到影响,并且最大值和默认值将与 maxTokenExpirationMinutes 中定义的值相匹配。
尽管这些值可能适合您的组织,但是考虑令牌背后的安全隐患很重要。 有效期越长的令牌安全性越低。 例如,被恶意用户拦截的令牌在有效期内仍可使用。 相反,有效期越短越安全,但是使用不方便,因为成员将需要更频繁地输入其用户名和密码。
要更改所有三种令牌类型的最大有效期,请按照以下步骤操作。 您指定的值适用于所有门户成员;不能为特定成员或仅管理员指定不同的值。
- 以组织管理员的身份登录到 ArcGIS Portal 目录。
URL 格式为 https://webadaptorhost.domain.com/webadaptorname/sharing/rest。
- 单击门户 > 自助。
- 滚动至页面底部并单击更新。
- 使用所需的值(以分钟为单位)更新 Max Token Expiration Minutes。 例如,输入 1440 以指定有效期为一天。
- 单击 Update Organization 应用所做更改。