Lutando com a API e os tokens ArcGIS REST

Estou fazendo o possível para proteger meus serviços AGS (9.3.1), mas lutei com os tokens. Como você pode ver, meu nw conta pertence aos agsadmin e agsusers papéis:

Atribuí essas mesmas funções ao meu serviço e à sua pasta que contém:

Gerar um token não é problema:

Mas, infelizmente, ao fazer login na interface REST, recebo esta mensagem de acesso não autorizado :

Encontrei um post nos fóruns da ESRI descrevendo o mesmo problema, mas as respostas são inconclusivas. ("Verifique se as configurações de segurança deste serviço de mapa estão corretas.", Blá, blá.)

Alguém já encontrou isso? O que eu poderia estar fazendo de errado?

Atualização: abandonamos a segurança baseada em AGS devido a suas muitas falhas e inconsistências caprichosas. Cuidado!

Se você usar o Fiddler quando estiver disparando uma autenticação de token, poderá ver a resposta (403 Proibido etc.).

Usei isso na primeira instalação do FME Server com segurança - ele usa o mesmo método Token e não é exclusivo do ArcGIS REST, mas REST com segurança. É provável que haja problemas de segurança de software ou o servidor da Web recusando a solicitação dos usuários.

Essa segurança de token (via proxy) em um servidor ArcGIS (Javascript) pode ser útil para o seu aplicativo http://forums.arcgis.com/threads/33714-Token-Security-on-an-ArcGIS-Server-%28Javascript%29