Cuando los servicios de ArcGIS Server estén protegidos con la autenticación basada en token de ArcGIS, el software cliente debe ser capaz de obtener y utilizar el token. Las aplicaciones del cliente de Esri, como ArcGIS Pro, gestionan automáticamente el proceso de adquisición de tokens del servicio de token y la presentación de los tokens al servicio Web de ArcGIS protegido.
Al crear aplicaciones personalizadas de cliente de ArcGIS que utilizan solicitudes GET para acceder a servicios web protegidos mediante la autenticación basada en token de ArcGIS, se recomienda enviar el token en el encabezado X-Esri-Authorization en lugar de un parámetro de consulta. Impide que los intermediarios en la red, por ejemplo, servidores proxy, puertas de enlace o equilibradores de carga, obtengan el token. La solicitud HTTP GET de ejemplo que aparece a continuación envía el token en el encabezado X-Esri-Authorization:GET https://arcgis.mydomain.com/arcgis/rest/services/SampleWorldCities/MapServer?f=pjson HTTP/1.1
Host: arcgis.mydomain.com
X-Esri-Authorization: Bearer xMTuPSYpAbj85TVfbZcVU7td8bMBlDKuSVkM3FAx7zO1MYD0zDam1VR3Cm-ZbFo-
Si ArcGIS Server utiliza la autenticación de ArcGIS Server y no la autenticación de nivel web (IWA, HTTP BASIC, PKI, etc.), el encabezado de autorización HTTP estándar se puede utilizar en lugar del encabezado X-Esri-Authorization:GET https://arcgis.mydomain.com/arcgis/rest/services/SampleWorldCities/MapServer?f=pjson HTTP/1.1
Host: arcgis.mydomain.com
Authorization: Bearer xMTuPSYpAbj85TVfbZcVU7td8bMBlDKuSVkM3FAx7zO1MYD0zDam1VR3Cm-ZbFo-
Se describe a continuación el comportamiento de los clientes de ArcGIS cuando se conecta a un servicio Web de ArcGIS protegido con la autenticación basada en token
- ArcGIS Pro: el usuario proporciona un nombre de usuario y una contraseña válidos en el cuadro de diálogo de conexión. Si no especifica ningún nombre de usuario o contraseña o si el inicio de sesión es incorrecto, el software solicita al usuario que introduzca las credenciales correctas.
- ArcGIS API for JavaScript: el cliente debe ser capaz de proporcionar un token para acceder al servicio que requiere un token. En la mayoría de los casos, no será apropiado incorporar el nombre de usuario y la contraseña para el servicio en el JavaScript de cliente. En cambio, un token de larga duración se puede obtener desde el servidor de token y este token se puede incluir en la página del cliente. Entonces, el token se incluye en la solicitud del servicio. Para obtener más información sobre la adquisición del token, consulte Adquirir tokens de ArcGIS. Para obtener información sobre la solicitud de un recurso con un token, consulte la ayuda API correspondiente.
- Aplicaciones basadas en SOAP: las aplicaciones que usen un kit de herramientas SOAP para acceder al WSDL del servicio web SIG deben adquirir y usar tokens explícitamente.