如果我忽略了一些非常简单的事情,请原谅我的无知。但我想知道如何在没有验证返回查询字符串的情况下使用Valence API对LMS进行身份验证。我注意到在针对valence.desire2learn.com LMS实例进行身份验证后的入门示例中,您将返回到入门应用程序,但URL现在具有用户ID和URL中的用户密钥作为查询字符串(x_a, x_b)。有没有办法进行身份验证,以便最终用户永远不会看到这些ID / Key组合。我担心的是,如果有人要在计算机上为网站添加书签,他们就可以访问具有提升权限的用户ID /密钥对。这与用户可以从生成的身份验证URL检索AppID / AppKey对的事实相结合可能会造成灾难。使用用户的密钥和应用密钥,可以编写任意数量的恶意攻击。我确信D2L会想到这个问题,因此我觉得为什么我的睡眠不足会妨碍我们看到一个简单的解决方案。
如果有人对此事有所了解,我们将不胜感激。
提前谢谢。
答案 0 :(得分:1)
Desire2Learn打算将其入门示例应用程序仅用作教育工具,旨在帮助开发人员了解,理解并更加熟悉Valence Learning Framework API使用的身份验证协议。因此,它将揭示用户在典型设置中通常不会看到的信息。您不应将“入门”示例用作参考应用程序,以获取有关构建生产应用程序的最佳实践,尤其是在处理应用程序和用户凭据方面。有关如何构建生产级应用程序的示例,请查看Book Widget示例。您可以在Desire2Learn的GitHub项目站点上找到Book Widget示例的application和test code。此示例演示了有关如何处理应用程序和用户凭据的当前最佳实践,还说明了如何实现基本LTI工具提供程序服务。