0

如果我忽略了一些非常简单的事情,请原谅我的无知。但我想知道如何在不返回查询字符串的情况下使用 Valence API 对 LMS 进行身份验证。我注意到,在对 valence.desire2learn.com LMS 实例进行身份验证后的入门示例中,您将返回到入门应用程序,但 URL 现在在 URL 中具有用户 ID 和用户密钥作为查询字符串 (x_a, x_b)。有没有办法进行身份验证,以便最终用户永远不会看到这些 ID/Key 组合。我担心的是,如果有人要在计算机上为网站添加书签,他们可能会访问具有提升权限的用户 ID/密钥对。再加上用户可以从生成的身份验证 URL 中检索 AppID/AppKey 对这一事实可能会造成灾难。有了用户的密钥和应用程序密钥,就可以编写任意数量的恶意攻击。我确信 D2L 会想到这个问题,因此为什么我觉得我的睡眠不足可能妨碍了看到一个简单的解决方案。

如果有人对此事有见解,将不胜感激。

先感谢您。

4

1 回答 1

1

Desire2Learn 打算将其入门示例应用程序仅用作一种教育工具,旨在帮助开发人员了解、理解并更加熟悉 Valence 学习框架 API 使用的身份验证协议。因此,它将揭示用户通常不会在典型设置中看到的信息。您不应该将 Getting Started 示例用作构建生产应用程序的最佳实践的参考应用程序,尤其是在您应该如何处理应用程序和用户凭据方面。有关如何构建生产级应用程序的示例,请查看 Book Widget 示例。您可以找到应用程序测试代码对于 Desire2Learn 的 GitHub 项目站点上的 Book Widget 示例。此示例演示了有关如何处理应用程序和用户凭据的当前最佳实践,还说明了如何实现基本的 LTI 工具提供程序服务。

于 2013-11-25T14:31:17.660 回答