ArcGIS Server安全配置tokens方式

1、ArcGIS Server安全配置安装完ArcGIS Server10后，你就可以通过ArcGIS Desktop家族系列软件（如ArcCatalog、ArcMap等）或通过ArcGIS Server10管理器发布地图服务了。对于各种发布的地图服务，哪些地图是任何人都可访问、哪些是只有指定的人可以访问、客户对地图服务具有什么样的权限，这些就涉及到ArcGIS Server的安全配置了。安全性配置包括对安全性存储（Security Store）、GIS服务安全性的配置（Security for GIS Services），下面介绍安全配置中的Tokens方式介绍安全性配置的一般过程。1. 首先，

2、在服务器端以管理员身份（或你安装ArcGIS Server时的具有管理服务器的帐号，如ArcGISSOM，ArcGISSOC，ArcGISWebService登录到ArcGIS Server的管理器），当然你也可以通过本机的ArcCatalog来管理服务器。操作过程为：点击开始->程序->ArcGIS->ArcGIS Server for the Java Platform->ArcGIS Server Manager.单击后弹出如下图1所示登录界面。图12. 管理用户与角色在ArcGIS Server Manager页面，点击左边栏的Security选项。如图2所示。

3、图2点击后，下拉列表中会显示Users,Roles,Settings,Export Token Service选项。在配置安全性前，我们要先定义好用户与角色。其中角色与用户是一对多的关系。比如创建角色”user”，它可以有多个用户，如John,Tom等。单击Users，弹出如下图3界面：图3点击Add User按钮后弹出添加用户的界面，如图4。图4其中打*号的是必填项。下面的Available Roles就是该新定义的用户可以隶属的权限范围。填写完后，单击Add User。至此，一个新用户的添加就完成了。对于角色（Role）的添加，与用户的定义差不多，此处不再赘述。示例中添加了用户John,K

4、angKang. 他们的角色分别是user与administrator.3. 安全性存储（Security Store）的配置。ArcGIS Server 附带一个轻量级的嵌入式数据库系统。默认情况下，会将主存储（也称为安全性存储）配置为使用该数据库维护用户和角色信息。还可将 ArcGIS Server 配置为使用存放在任何关系数据库（例如，Microsoft SQL Server 或 MySQL）和/或目录服务器（例如 LDAP 或 Microsoft 活动目录）中的用户和角色信息。下面的屏幕截图5显示用于配置安全性存储的 Web 页面。这里以ArcGIS Server提供的默认数据库为例。

5、图5安全性存储配置概述要设置安全性存储，可在Security Stroe 选项卡上单击Configue。这样会出现一个向导，它有助于分别设置用户存储和角色存储。步骤 1（共 3 步）：User Store 选择要存放用户信息的存储。单击与特定类型的数据存储关联的Configue链接来为数据存储输入连接参数（以便 ArcGIS 能够连接并访问信息）。要使用开箱即用的 Derby 存储，请选择Default（Internal Data Store）选项，然后单击下一步。步骤 2（共 3 步）：Role Store 选择要存放角色信息的存储。要使用开箱即用的 Derby 存储，请单击下一步。步骤 3

6、（共 3 步）：Security Store Configuration Summary 该页面用于汇总存储配置。如果对配置感到满意，可单击Finish或进行必要的编辑。到此，安全性存储告一段落。4. GIS服务安全性（Security for GIS Services）的配置。点击管理器左边栏中的Security,单击Settings子项。在Security for GIS Services中可以启用安全性配置。如下图6所示。图6选中Enable Security for GIS Services前的复选框启用安全性配置。本文选择ArcGIS Token Service Authentica

7、tion方式来配置服务安全性。选中ArcGIS Token Service Authentication及Use token service running on this instance of ArcGIS Server前的复选框，单击Configure后进入Configure Local Token Service对话框对Token进行配置。如图7所示。图7其中：Time duration for short lived tokens：定义客户所获得token存活的最短时间；Time duration for long lived tokens：定义客户所获得token存活的最长时间。S

8、hared key for encrypting token: 令牌服务的共享密钥用于为令牌加密，密钥的长度应为 16 个字符（超出 16 个字符以外的任何字符均不会被采用）。建议使用一组随机字符设置密钥。任何字符都可以使用，包括非字母数字字符。应将密钥设置为任何有可能截获令牌的人都无法轻易猜中的值。由于用户无需使用或记住密钥，因此设置密钥与设置密码不同，复杂的密钥值并不会对用户造成不便。配置完成后单击OK，回到图6所示界面，点击Save.至此GIS服务安全性配置告一段落。5. 对发布的地图服务权限的设置在ArcGIS Server Manager左边栏单击Services并点击其子项Mana

9、ger Services.在右边栏中的Services in这一栏的最后一项（），可以设置用户（包括管理员与普通用户）对根文件夹的权限。如图8所示。图8本文示例中选中了administrator这个角色。如图9所示。图9其次可以设置具体用户（包括管理员与普通用户）对具体服务的权限。单击具体服务中Security下的小锁图标，可设置哪些人可以访问此具体服务。本示例中选中了administrator与user，如下图10所示。图10另外一定要注意一点：不论你在哪个地方修改了安全、权限的设置，请一定要回到图6所示界面点击Save按钮。这样你所做的修改才能真正生效！6. 用户对token的获得1.Ge

10、tToken 网页令牌服务中附带了用于手动请求令牌的 HTML 网页。通常只在使用 ArcGIS Server API for JavaScript 构建 Web 应用程序时或在进行测试和故障排除时才需要该网页。Web ADF 应用程序和 ArcGIS Desktop 等客户端可自动检索令牌，因此并不需要该网页。GetToken 网页所在的 ArcGIS Server 实例位于 https:/<Web 服务器>:<端口>/arcgis/tokens/gettoken.html（或者，如果已导出令牌服务并将其部署在 Web 服务器上，可以用 Web 服务器域名替换 <

11、;Web 服务器>，并使用指向已部署的应用程序的上下文路径替换 arcgis/tokens）。要使用 GetToken 页面，请输入以下信息：· 用户名和密码：ArcGIS Server 上的 ArcGIS Web 服务的有效用户凭据。有效用户是指使用设置 面板上的 ArcGIS Server 管理器配置的用户。· 客户端 ID：发出访问 Web 服务的请求的计算机的标识符。具有客户端 ID 才能获得使用期限较长的长期令牌；使用 ArcGIS API for JavaScript 时通常会要求具有客户端 ID。指定客户端 ID 的方法共有两种： § IP 地

12、址：这将使令牌与指定的计算机绑定。如果始终在指定的计算机中使用令牌，则可使用该选项，例如在通过 ArcGIS Server API for SOAP 构建的 Web 应用程序中（在此应用程序中将由服务器发出访问 ArcGIS Web 服务的请求）。在测试和排除 ArcGIS Server 故障时也可使用这种方法。§ HTTP referrer：这是发出访问 ArcGIS Web 服务请求的页面的 URL。如果通过 ArcGIS Server API for JavaScript 或其他基于 REST 的应用程序来构建应用程序（各客户端在此应用程序中发出通过 ArcGIS Web 服务

13、直接访问地图和数据的请求），可使用此方法。· 有效期： 令牌的有效期，该值介于一分钟到最大值之间。2.令牌请求格式要从服务器获取令牌，需发出 URL 请求。ArcGIS Desktop、Web ADF、Web API 和移动客户端等使用令牌的客户端都使用此方法，且使用方式与上述 GetToken 页面相同。使用 tokens 端点请求令牌可使用 tokens 端点请求令牌。例如，以下 URL 可用于从服务器获取令牌：该请求可为用户 myuser 获取一个运行于同一服务器 () 的 Web 应用程序的令牌，有效期为一天（1440 分钟）。可以指定查询字符串中的以下参数：· r

14、equest：此参数的值始终为 gettoken (request=gettoken)。必填信息。· username：用户在系统上的用户名。必填信息。· password：用户在系统上的密码。必填信息。· clientid：用于标识客户端的可选参数。在类型和值之间使用一个“.”字符。如果未指定 clientid，令牌将使用短期令牌超时设置。值：§ ip：客户端的 IP 地址。示例：§ ref：使用此令牌的 webapp 的基本 URL。如果客户端参数的值是 referrer，则必须指定此参数。示例：clientid=ref.http:/mys

15、erver/mywebapp§ requestip：如果将值指定为 requestip（请求 IP），则为发出请求的 IP 生成令牌。示例：clientid=requestip· expiration：可选参数，指定令牌发出后的有效期。该值以分钟为单位。如果未包括此参数，expiration 将使用短期令牌超时设置。· f：作为 ArcGIS Server 10.0 Service Pack 1 (SP1) 的新增功能，此可选参数用于指定输出格式。它接受值“json”，以 json 格式返回结果。如果未指定此参数，将以文本格式生成令牌。示例：有效期以毫秒表示，计算

16、的起始时间为 1970 年 1 月 1 日。· callback：可选参数，用于指定回调函数的名称。包含 callback 时，将始终以 json 格式返回输出。本示例中使用了John这个用户来获得token。其在浏览器窗口输入的URL为：1:8399/arcgis/tokens?request=gettoken&username=John&password=root&clientid=ip.41&expiration=1440。所获得的token为：以后，在token的存活范围内，用户就可以

17、凭此与用户名、密码去访问其权限内的服务了。附：1.如果你使用的是外部存储，而非ArcGIS Server自带的存储方式。请按下面的方式进行安全性存储配置。要将外部数据库配置为 ArcGIS 安全性存储，首先需要准备数据库，然后使用 ArcGISServer 管理器配置该数据库。准备数据库1. 按照数据库供应商提供的说明安装关系数据库服务器。2. 以管理用户身份创建一个空数据库。3. 为该数据库创建一个具有读/写权限的用户帐户。4. 确定 JDBC 驱动程序的位置。标识实现 JDBC 访问的驱动程序并记录它的完全限定类名称。例如，Apache Derby 的 JDBC 驱动程序的类名称是 org

18、.apache.derby.jdbc.ClientDriver。5. ArcGIS Server 将通过所提供的 JDBC 驱动程序来与数据库服务器进行通信。由于通常通过 TCP 进行此通信，所以可能需要配置数据库服务器以接受 TCP 连接。有关此问题的详细信息，请参阅数据库文档。6. 构建连接数据库服务器所需的 JDBC URL。有关 URL 的准确格式，请参阅数据库文档。JDBC URL 的通用格式为 *jdbc:<数据库服务器>:/<计算机名称>:<端口>databaseName=ABC*。在管理器中配置安全性存储1. 将 JDBC 驱动程序 .jar 文件复制到 <ArcGIS Server 安装目录>javamanagerconfigsecuritylib 文件夹。2. 登录 ArcGIS Server 管理器。在Security 面板上，单击settings，然后选择Security Store选项卡。3. 单击Configure，选择External，然后单击Configure。将出现下面的对话框。 4. 下表描述了该对话框中的各字段： 字段必选/可选描述JDBC 驱动程序必选实现特定数据库服务器的 JDBC 驱动程序的完全限定类名称JDBC URL必选连接数据库服务器所用的 JD