什么情况下使用token及其注意事项
什么情况下使用token及其注意事项
发起人
相关问题
- 如何优雅的使用ArcGIS知乎?
- 苹果系统下可以使用arcgis 吗?
- Arcgis的地位不可撼动,那有必要掌握使用其他GIS软件吗
- 请问arcmap如何使用多线程?
- 在Visual studio 2015 中使用 Arcgis API for JavaScript v3.16 如何实现代码智能提示?
- 如何使用脚本或其他方法,将图层属性中属性域原值内容替换为属性域描述?
- arcgis runtime for andriod 100.1 如何使用eclipse开发
- Engine许可使用注意事项
- 使用ArcGIS Desktop10.2版本,如何设置图例横着放且label在正下方?
- 怎样调整要素的大小,比例不变的情况下?
- 请问如何使用ArcEngine实现(在右击图例中)Convert To Gtaphics这一功能?
问题状态
- 最新活动: 2015-10-26 00:33
- 浏览: 2756
- 关注: 1 人
1 个回复
勾戈雪黎
赞同来自:
针对加密服务,或者在脚本中访问admin api等
如果使用token可能存在的问题:
1.用户名和密码泄露:如果使用http,用户名和密码就会以明码的方式传输。这个时候建议对arcgis server启用https。
2.重复利用攻击:使用http,有可能token会被黑客拦截,在token有效的时间内重复利用。这中情况下也建议使用https。arcgis server有短期和长期token,长期token要绑定ip或者referrer,这样即使token被盗用,但是从另外一台机(IP不同)器来发出的相同用户名和密码的请求会被拒绝;同理对于referer来讲,除非绑定的http hearder发过来的请求,否则token会被拒绝。
短期token可以不用绑定ip或者referrer,因为很开token就会过期。
3.开发实践
token可以通过http get或者http post请求获得。使用post会更安全。get 请求可能会将用户名和密码遗留为浏览器历史。ESRI api还有其他产片都是使用post请求token。为了方便人们写脚本,token可以通过get获得,但是对于安全要求高的环境建议使用post。
要回复问题请先登录或注册