Đấu tranh với ArcGIS REST API và mã thông báo

Tôi đang làm hết sức mình để bảo mật các dịch vụ AGS (9.3.1) của mình, nhưng đã phải vật lộn với các mã thông báo. Như bạn thấy, tôi nw tài khoản thuộc về agsadmin và agsusers vai trò:

Tôi đã gán các vai trò tương tự cho dịch vụ của mình và thư mục chứa nó:

Tạo mã thông báo không có vấn đề:

Nhưng than ôi, khi đăng nhập vào giao diện REST, tôi nhận được thông báo truy cập trái phép này :

Tôi đã tìm thấy một bài đăng trên các diễn đàn ESRI mô tả cùng một vấn đề, nhưng các câu trả lời là không thuyết phục. ("Vui lòng đảm bảo rằng cài đặt Bảo mật cho dịch vụ bản đồ này là chính xác.", Blah blah.)

Có ai gặp phải điều này? Tôi có thể làm gì sai?

Cập nhật: chúng tôi đã từ bỏ bảo mật dựa trên AGS vì nhiều lỗ hổng và mâu thuẫn thất thường của nó. Coi chừng!

Nếu bạn sử dụng Fiddler khi bạn thực hiện xác thực mã thông báo, bạn có thể thấy phản hồi (403 Bị cấm, v.v.).

Tôi đã sử dụng điều này khi lần đầu tiên thiết lập Máy chủ FME có bảo mật - cách này sử dụng cùng một phương thức Token và không phải là duy nhất cho ArcGIS REST mà là REST có bảo mật. Đây có thể là sự cố bảo mật phần mềm hoặc máy chủ web từ chối yêu cầu của người dùng.

Bảo mật mã thông báo này (thông qua proxy) trên Máy chủ ArcGIS (Javascript) có thể hữu ích cho ứng dụng của bạn http://forums.arcgis.com/threads/33714-Token-Security-on-an-ArcGIS-Server-%28Javascript%29