令牌用于对您的 ArcGIS Enterprise 组织成员进行身份验证。 当用户尝试访问组织时,需要提供用户名和密码。 ArcGIS Enterprise 会验证提供的凭据,生成令牌,并将令牌颁发给成员。
令牌是包含用户名、令牌有效期和其他专有信息的加密信息字符串。 令牌颁发给成员后,成员可在令牌有效期内访问门户。 令牌过期时,成员必须重新提供用户名和密码。
门户中可以使用三种类型的令牌:
- ArcGIS 令牌 - 通过 sharing/rest/generateToken 端点生成的令牌。
- Oauth 访问令牌 - 通过 OAuth2 身份验证工作流生成的令牌。
- Oauth 刷新令牌 - 用于在 OAuth 访问令牌到期时生成新 OAuth 访问令牌的令牌。
组织成员在生成令牌时可以指定的最大过期时间取决于令牌类型。 如果用户指定的过期时间超过最大值,令牌将使用该令牌类型的最大过期时间生成。
以下值是门户接受的最大过期时间,并且默认情况下是您组织的最大值:
- ArcGIS 令牌 - 14 天(20160 分钟)
- OAuth 访问令牌(使用 Implicit 或 Client Credentials 授权类型创建)- 14 天(20160 分钟)
- OAuth 访问令牌(使用 Authorization Code 授权类型创建)- 30 分钟
- OAuth 刷新令牌 - 90 天(129600 分钟)
如果在生成令牌时未指定有效期,则将使用默认值,此默认值因令牌的类型而异:
- ArcGIS 令牌 - 120 分钟
- OAuth 访问令牌(使用 Implicit 或 Client Credentials 授权类型创建)- 120 分钟
- OAuth 访问令牌(使用 Authorization Code 授权类型创建)- 30 分钟
- OAuth 刷新令牌 - 2 周(20160 分钟)
作为管理员,您可以通过在 ArcGIS Portal Administrator Directory 中设置 maxTokenExpirationMinutes 属性为新值来减少这些值。 -1 默认值代表每种令牌类型的最大和默认过期时间。
如果设置的值小于最大值但大于默认值,则只会影响最大值,并且默认值将保持不变。 如果该值小于最大值和默认值,则这两个值都会受到影响,并且最大值和默认值将与 maxTokenExpirationMinutes 中定义的值相匹配。
例如,如果您将 maxTokenExpirationMinutes 设置为 17280(12 天),则使用隐式授权类型或客户端凭证授权类型创建的 ArcGIS 令牌、OAuth 访问令牌和 OAuth 刷新令牌的最大过期时间将为 12 天。 而使用授权码授权类型创建的 OAuth 访问令牌的过期时间将保持为 30 分钟。 对于未指定过期时间时使用的默认过期时间,只有 OAuth 刷新令牌会更新为 12 天。
考虑令牌的安全性是非常重要的。 有效期越长的令牌安全性越低。 例如,被恶意用户拦截的令牌在有效期内仍可使用。 相反,有效期越短越安全,但是使用不方便,因为成员将需要更频繁地输入其用户名和密码。
设置最长令牌有效期
要更改所有三种令牌类型的最大有效期,请按照以下步骤操作。 您指定的值适用于所有组织成员;不能为特定成员或仅管理员指定不同的值。
- 以组织管理员的身份登录到 ArcGIS Portal 目录。
URL 格式为 https://organization.example.com/<context>/sharing/rest。
- 单击门户 > 自助。
- 滚动至页面底部并单击更新。
- 使用所需的值(以分钟为单位)更新 Max Token Expiration Minutes。
例如,输入 1440 以指定有效期为一天。
-1 默认值代表每种令牌类型的默认最大值。
- 单击 Update Organization 应用所做更改。