0

我正在构建一个符合 xAPI 的 LMS,使用https://learninglocker.net/作为我们的 LRS。管理员可以上传包含 xAPI 包的 zip 文件。LMS 将解压缩它,找到启动文件,并允许用户启动该 URL,将 LRS 的凭据作为查询参数传递。然后,该包可以直接向我们的 LRS 报告它想要的任何内容,而我们的 LMS 对其没有任何控制权。

此外,由于 LRS 凭证在 url 中清晰可见,精通技术的用户可以使用它们将他们想要的任何记录写入 LRS。

避免这种情况的标准方法是什么?目前我能想到的唯一解决方案是不让包访问我们的 LRS,而是通过我们的 LMS 将所有请求代理到我们的 LRS,并让包访问该代理端点。

有更好的方法吗?

4

1 回答 1

0

代理方法应该有效,并且对 LRS 的负担最小。

在我们的实现中,我们使用自动生成的短期(可配置)令牌,该令牌对 LRS 具有有限的权限。这自然需要 LRS 实现允许此类事情的权限模型,我不知道 Learning Locker 是否会(或会)。在此设置中,用户仍然可以直接访问 LRS,但由于访问限制,风险很低。

我的另一个建议是研究 cmi5 而不是实施 Tin Can 启动指南(这可能是您发现的)。它对 LRS 权限模型没有帮助,但更多的是标准路径,并且专门针对 LMS 模型中基于 xAPI 的内容。

于 2016-06-29T14:11:18.250 回答