个人中心
gpt4 book ai didi

oauth - tincan LRS/LMS 启动和 OAuth 的最佳实践

转载 作者:行者123 更新时间:2023-12-04 20:00:16 27 4
gpt4 key购买 nike

我正在构建一个基于锡 jar 的 LMS。我们根据本指南从 LMS 启动事件,并为事件提供适当的查询参数,以便与 LRS xapi 端点进行通信。

https://github.com/RusticiSoftware/launch/blob/master/lms_lrs.md

我们正在努力解决的问题是对传入语句的验证。现在我们正在作弊并且只使用 session cookie,因为事件与 LMS 位于同一域,但是我们想转移到外部事件。

我知道 tin-can 为此目的更喜欢 OAuth 2.0,但是我不确定最好的 token 交换流程应该是什么。我最好的猜测是

  • 用户点击 lms 中的事件链接
  • 事件 url 打开 jar 头参数( Actor 、端点等)
  • 事件将用户重定向回 l​​rs 以获取身份验证 token
  • lrs 使用身份验证 token 和原始锡 jar 参数重定向回事件
  • 事件将身份验证 token 交换为访问 token
  • lrs 将访问 token 返回到事件
  • 事件使使用访问 token 授权的 tin can 语句调用

    • 然而,鉴于我们来自 LMS/LRS,前几步似乎是多余的。是否可以/建议:
  • 使用已存在的身份验证 token 启动事件
    网址跳到第 5 步
  • 使用已存在的访问 token 启动事件
    网址直接跳到第 7 步

    • 这两种方法中的任何一种都会减少所需的步骤数量,但可能会带来安全风险。

    想法?

    最佳答案

    启动文档没有指定使用 OAuth 时要传递的任何身份验证参数,并且仅在正在启动的事件提供程序已向 LMS 注册的情况下讨论 OAuth(此时 LMS 将假定事件将通过 OAuth 进行身份验证并且不发送基本认证信息)。

    https://github.com/RusticiSoftware/launch/blob/master/lms_lrs.md#oauth

    因此,可以在启动时使用 OAuth,但启动不提供任何帮助。它只是为您提供要使用的端点,然后您必须查看 XAPI 规范本身以了解 OAUth 端点相对于主要 LRS 端点的位置。

    https://github.com/adlnet/xAPI-Spec/blob/1.0.1/xAPI.md#oauth-endpoints

    您还需要选择并遵循工作流程:

    https://github.com/adlnet/xAPI-Spec/blob/1.0.1/xAPI.md#64-security

    最后,如果从安全角度跳到第 7 步对您来说是可以接受的,为什么不直接使用 LMS 在启动链接上传递给您的基本身份验证 token ?

    关于oauth - tincan LRS/LMS 启动和 OAuth 的最佳实践,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24195947/

    27 4 0
    文章推荐: web-services - POST Restful API 的响应代码 400 或 403
    文章推荐: excel - 如何在工作表名称更改时使宏起作用
    文章推荐: excel - 计算单元失败的 VLOOKUP
    文章推荐: plone - 在 Plone 中提供受权限保护的静态 html
    行者123
    个人简介

    我是一名优秀的程序员,十分优秀!

    滴滴打车优惠券免费领取
    滴滴打车优惠券
    全站热门文章
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com