ArcGIS Server安全配置tokens方式

1、ArcGIS Server安全配置安裝完ArcGIS Server10后，你就可以通過ArcGIS Desktop家族系列軟件（如ArcCatalog、ArcMap等）或通過ArcGIS Server10管理器發(fā)布地圖服務(wù)了。對于各種發(fā)布的地圖服務(wù)，哪些地圖是任何人都可訪問、哪些是只有指定的人可以訪問、客戶對地圖服務(wù)具有什么樣的權(quán)限，這些就涉及到ArcGIS Server的安全配置了。安全性配置包括對安全性存儲（Security Store）、GIS服務(wù)安全性的配置（Security for GIS Services），下面介紹安全配置中的Tokens方式介紹安全性配置的一般過程。1. 首先，

2、在服務(wù)器端以管理員身份（或你安裝ArcGIS Server時的具有管理服務(wù)器的帳號，如ArcGISSOM，ArcGISSOC，ArcGISWebService登錄到ArcGIS Server的管理器），當(dāng)然你也可以通過本機(jī)的ArcCatalog來管理服務(wù)器。操作過程為：點(diǎn)擊開始->程序->ArcGIS->ArcGIS Server for the Java Platform->ArcGIS Server Manager.單擊后彈出如下圖1所示登錄界面。圖12. 管理用戶與角色在ArcGIS Server Manager頁面，點(diǎn)擊左邊欄的Security選項(xiàng)。如圖2所示。

3、圖2點(diǎn)擊后，下拉列表中會顯示Users,Roles,Settings,Export Token Service選項(xiàng)。在配置安全性前，我們要先定義好用戶與角色。其中角色與用戶是一對多的關(guān)系。比如創(chuàng)建角色”user”，它可以有多個用戶，如John,Tom等。單擊Users，彈出如下圖3界面：圖3點(diǎn)擊Add User按鈕后彈出添加用戶的界面，如圖4。圖4其中打*號的是必填項(xiàng)。下面的Available Roles就是該新定義的用戶可以隸屬的權(quán)限范圍。填寫完后，單擊Add User。至此，一個新用戶的添加就完成了。對于角色（Role）的添加，與用戶的定義差不多，此處不再贅述。示例中添加了用戶John,K

4、angKang. 他們的角色分別是user與administrator.3. 安全性存儲（Security Store）的配置。ArcGIS Server 附帶一個輕量級的嵌入式數(shù)據(jù)庫系統(tǒng)。默認(rèn)情況下，會將主存儲（也稱為安全性存儲）配置為使用該數(shù)據(jù)庫維護(hù)用戶和角色信息。還可將 ArcGIS Server 配置為使用存放在任何關(guān)系數(shù)據(jù)庫（例如，Microsoft SQL Server 或 MySQL）和/或目錄服務(wù)器（例如 LDAP 或 Microsoft 活動目錄）中的用戶和角色信息。下面的屏幕截圖5顯示用于配置安全性存儲的 Web 頁面。這里以ArcGIS Server提供的默認(rèn)數(shù)據(jù)庫為例。

5、圖5安全性存儲配置概述要設(shè)置安全性存儲，可在Security Stroe 選項(xiàng)卡上單擊Configue。這樣會出現(xiàn)一個向?qū)В兄诜謩e設(shè)置用戶存儲和角色存儲。步驟 1（共 3 步）：User Store 選擇要存放用戶信息的存儲。單擊與特定類型的數(shù)據(jù)存儲關(guān)聯(lián)的Configue鏈接來為數(shù)據(jù)存儲輸入連接參數(shù)（以便 ArcGIS 能夠連接并訪問信息）。要使用開箱即用的 Derby 存儲，請選擇Default（Internal Data Store）選項(xiàng)，然后單擊下一步。步驟 2（共 3 步）：Role Store 選擇要存放角色信息的存儲。要使用開箱即用的 Derby 存儲，請單擊下一步。步驟 3

6、（共 3 步）：Security Store Configuration Summary 該頁面用于匯總存儲配置。如果對配置感到滿意，可單擊Finish或進(jìn)行必要的編輯。到此，安全性存儲告一段落。4. GIS服務(wù)安全性（Security for GIS Services）的配置。點(diǎn)擊管理器左邊欄中的Security,單擊Settings子項(xiàng)。在Security for GIS Services中可以啟用安全性配置。如下圖6所示。圖6選中Enable Security for GIS Services前的復(fù)選框啟用安全性配置。本文選擇ArcGIS Token Service Authentica

7、tion方式來配置服務(wù)安全性。選中ArcGIS Token Service Authentication及Use token service running on this instance of ArcGIS Server前的復(fù)選框，單擊Configure后進(jìn)入Configure Local Token Service對話框?qū)oken進(jìn)行配置。如圖7所示。圖7其中：Time duration for short lived tokens：定義客戶所獲得token存活的最短時間；Time duration for long lived tokens：定義客戶所獲得token存活的最長時間。S

8、hared key for encrypting token: 令牌服務(wù)的共享密鑰用于為令牌加密，密鑰的長度應(yīng)為 16 個字符（超出 16 個字符以外的任何字符均不會被采用）。建議使用一組隨機(jī)字符設(shè)置密鑰。任何字符都可以使用，包括非字母數(shù)字字符。應(yīng)將密鑰設(shè)置為任何有可能截獲令牌的人都無法輕易猜中的值。由于用戶無需使用或記住密鑰，因此設(shè)置密鑰與設(shè)置密碼不同，復(fù)雜的密鑰值并不會對用戶造成不便。配置完成后單擊OK，回到圖6所示界面，點(diǎn)擊Save.至此GIS服務(wù)安全性配置告一段落。5. 對發(fā)布的地圖服務(wù)權(quán)限的設(shè)置在ArcGIS Server Manager左邊欄單擊Services并點(diǎn)擊其子項(xiàng)Mana

9、ger Services.在右邊欄中的Services in這一欄的最后一項(xiàng)（），可以設(shè)置用戶（包括管理員與普通用戶）對根文件夾的權(quán)限。如圖8所示。圖8本文示例中選中了administrator這個角色。如圖9所示。圖9其次可以設(shè)置具體用戶（包括管理員與普通用戶）對具體服務(wù)的權(quán)限。單擊具體服務(wù)中Security下的小鎖圖標(biāo)，可設(shè)置哪些人可以訪問此具體服務(wù)。本示例中選中了administrator與user，如下圖10所示。圖10另外一定要注意一點(diǎn)：不論你在哪個地方修改了安全、權(quán)限的設(shè)置，請一定要回到圖6所示界面點(diǎn)擊Save按鈕。這樣你所做的修改才能真正生效！6. 用戶對token的獲得1.Ge

10、tToken 網(wǎng)頁令牌服務(wù)中附帶了用于手動請求令牌的 HTML 網(wǎng)頁。通常只在使用 ArcGIS Server API for JavaScript 構(gòu)建 Web 應(yīng)用程序時或在進(jìn)行測試和故障排除時才需要該網(wǎng)頁。Web ADF 應(yīng)用程序和 ArcGIS Desktop 等客戶端可自動檢索令牌，因此并不需要該網(wǎng)頁。GetToken 網(wǎng)頁所在的 ArcGIS Server 實(shí)例位于 https:/<Web 服務(wù)器>:<端口>/arcgis/tokens/gettoken.html（或者，如果已導(dǎo)出令牌服務(wù)并將其部署在 Web 服務(wù)器上，可以用 Web 服務(wù)器域名替換 <

11、;Web 服務(wù)器>，并使用指向已部署的應(yīng)用程序的上下文路徑替換 arcgis/tokens）。要使用 GetToken 頁面，請輸入以下信息：· 用戶名和密碼：ArcGIS Server 上的 ArcGIS Web 服務(wù)的有效用戶憑據(jù)。有效用戶是指使用設(shè)置 面板上的 ArcGIS Server 管理器配置的用戶。· 客戶端 ID：發(fā)出訪問 Web 服務(wù)的請求的計算機(jī)的標(biāo)識符。具有客戶端 ID 才能獲得使用期限較長的長期令牌；使用 ArcGIS API for JavaScript 時通常會要求具有客戶端 ID。指定客戶端 ID 的方法共有兩種： § IP 地

12、址：這將使令牌與指定的計算機(jī)綁定。如果始終在指定的計算機(jī)中使用令牌，則可使用該選項(xiàng)，例如在通過 ArcGIS Server API for SOAP 構(gòu)建的 Web 應(yīng)用程序中（在此應(yīng)用程序中將由服務(wù)器發(fā)出訪問 ArcGIS Web 服務(wù)的請求）。在測試和排除 ArcGIS Server 故障時也可使用這種方法。§ HTTP referrer：這是發(fā)出訪問 ArcGIS Web 服務(wù)請求的頁面的 URL。如果通過 ArcGIS Server API for JavaScript 或其他基于 REST 的應(yīng)用程序來構(gòu)建應(yīng)用程序（各客戶端在此應(yīng)用程序中發(fā)出通過 ArcGIS Web 服務(wù)

13、直接訪問地圖和數(shù)據(jù)的請求），可使用此方法。· 有效期： 令牌的有效期，該值介于一分鐘到最大值之間。2.令牌請求格式要從服務(wù)器獲取令牌，需發(fā)出 URL 請求。ArcGIS Desktop、Web ADF、Web API 和移動客戶端等使用令牌的客戶端都使用此方法，且使用方式與上述 GetToken 頁面相同。使用 tokens 端點(diǎn)請求令牌可使用 tokens 端點(diǎn)請求令牌。例如，以下 URL 可用于從服務(wù)器獲取令牌：該請求可為用戶 myuser 獲取一個運(yùn)行于同一服務(wù)器 () 的 Web 應(yīng)用程序的令牌，有效期為一天（1440 分鐘）。可以指定查詢字符串中的以下參數(shù)：· r

14、equest：此參數(shù)的值始終為 gettoken (request=gettoken)。必填信息。· username：用戶在系統(tǒng)上的用戶名。必填信息。· password：用戶在系統(tǒng)上的密碼。必填信息。· clientid：用于標(biāo)識客戶端的可選參數(shù)。在類型和值之間使用一個“.”字符。如果未指定 clientid，令牌將使用短期令牌超時設(shè)置。值：§ ip：客戶端的 IP 地址。示例：§ ref：使用此令牌的 webapp 的基本 URL。如果客戶端參數(shù)的值是 referrer，則必須指定此參數(shù)。示例：clientid=ref.http:/mys

15、erver/mywebapp§ requestip：如果將值指定為 requestip（請求 IP），則為發(fā)出請求的 IP 生成令牌。示例：clientid=requestip· expiration：可選參數(shù)，指定令牌發(fā)出后的有效期。該值以分鐘為單位。如果未包括此參數(shù)，expiration 將使用短期令牌超時設(shè)置。· f：作為 ArcGIS Server 10.0 Service Pack 1 (SP1) 的新增功能，此可選參數(shù)用于指定輸出格式。它接受值“json”，以 json 格式返回結(jié)果。如果未指定此參數(shù)，將以文本格式生成令牌。示例：有效期以毫秒表示，計算

16、的起始時間為 1970 年 1 月 1 日。· callback：可選參數(shù)，用于指定回調(diào)函數(shù)的名稱。包含 callback 時，將始終以 json 格式返回輸出。本示例中使用了John這個用戶來獲得token。其在瀏覽器窗口輸入的URL為：1:8399/arcgis/tokens?request=gettoken&username=John&password=root&clientid=ip.41&expiration=1440。所獲得的token為：以后，在token的存活范圍內(nèi)，用戶就可以

17、憑此與用戶名、密碼去訪問其權(quán)限內(nèi)的服務(wù)了。附：1.如果你使用的是外部存儲，而非ArcGIS Server自帶的存儲方式。請按下面的方式進(jìn)行安全性存儲配置。要將外部數(shù)據(jù)庫配置為 ArcGIS 安全性存儲，首先需要準(zhǔn)備數(shù)據(jù)庫，然后使用 ArcGISServer 管理器配置該數(shù)據(jù)庫。準(zhǔn)備數(shù)據(jù)庫1. 按照數(shù)據(jù)庫供應(yīng)商提供的說明安裝關(guān)系數(shù)據(jù)庫服務(wù)器。2. 以管理用戶身份創(chuàng)建一個空數(shù)據(jù)庫。3. 為該數(shù)據(jù)庫創(chuàng)建一個具有讀/寫權(quán)限的用戶帳戶。4. 確定 JDBC 驅(qū)動程序的位置。標(biāo)識實(shí)現(xiàn) JDBC 訪問的驅(qū)動程序并記錄它的完全限定類名稱。例如，Apache Derby 的 JDBC 驅(qū)動程序的類名稱是 org

18、.apache.derby.jdbc.ClientDriver。5. ArcGIS Server 將通過所提供的 JDBC 驅(qū)動程序來與數(shù)據(jù)庫服務(wù)器進(jìn)行通信。由于通常通過 TCP 進(jìn)行此通信，所以可能需要配置數(shù)據(jù)庫服務(wù)器以接受 TCP 連接。有關(guān)此問題的詳細(xì)信息，請參閱數(shù)據(jù)庫文檔。6. 構(gòu)建連接數(shù)據(jù)庫服務(wù)器所需的 JDBC URL。有關(guān) URL 的準(zhǔn)確格式，請參閱數(shù)據(jù)庫文檔。JDBC URL 的通用格式為 *jdbc:<數(shù)據(jù)庫服務(wù)器>:/<計算機(jī)名稱>:<端口>databaseName=ABC*。在管理器中配置安全性存儲1. 將 JDBC 驅(qū)動程序 .jar 文件復(fù)制到 <ArcGIS Server 安裝目錄>javamanagerconfigsecuritylib 文件夾。2. 登錄 ArcGIS Server 管理器。在Security 面板上，單擊settings，然后選擇Security Store選項(xiàng)卡。3. 單擊Configure，選擇External，然后單擊Configure。將出現(xiàn)下面的對話框。 4. 下表描述了該對話框中的各字段： 字段必選/可選描述JDBC 驅(qū)動程序必選實(shí)現(xiàn)特定數(shù)據(jù)庫服務(wù)器的 JDBC 驅(qū)動程序的完全限定類名稱JDBC URL必選連接數(shù)據(jù)庫服務(wù)器所用的 JD