什么情况下使用token及其注意事项

【解决办法】：
针对加密服务，或者在脚本中访问admin api等
如果使用token可能存在的问题： 
1.用户名和密码泄露：如果使用http，用户名和密码就会以明码的方式传输。这个时候建议对arcgis server启用https。 
2.重复利用攻击：使用http，有可能token会被黑客拦截，在token有效的时间内重复利用。这中情况下也建议使用https。arcgis server有短期和长期token，长期token要绑定ip或者referrer，这样即使token被盗用，但是从另外一台机（IP不同）器来发出的相同用户名和密码的请求会被拒绝；同理对于referer来讲，除非绑定的http hearder发过来的请求，否则token会被拒绝。 
短期token可以不用绑定ip或者referrer，因为很开token就会过期。 
3.开发实践 
token可以通过http get或者http post请求获得。使用post会更安全。get 请求可能会将用户名和密码遗留为浏览器历史。ESRI api还有其他产片都是使用post请求token。为了方便人们写脚本，token可以通过get获得，但是对于安全要求高的环境建议使用post。