0

非常に単純なことを見落としている場合は、私の無知を許してください。しかし、認証がクエリ文字列を返さずに、Valence API を使用して LMS への認証をどのように行うことができるのか疑問に思っています。はじめにの例では、valence.desire2learn.com LMS インスタンスに対する認証後に、はじめにアプリに戻りますが、URL にはユーザー ID と URL のユーザー キーがクエリ文字列 (x_a、 x_b)。これらの ID とキーの組み合わせがエンド ユーザーに表示されないように認証する方法はありますか。私の懸念は、誰かがコンピューター上のサイトをブックマークした場合、昇格された特権を持つユーザー ID/キーのペアにアクセスできることです。これは、生成された認証 URL からユーザーが AppID/AppKey ペアを取得できるという事実と相まって、大惨事になる可能性があります。ユーザーのキーとアプリ キーを使用して、悪意のある攻撃をいくつでもプログラムできます。D2L がこの問題を考えていたに違いありません。したがって、単純な解決策を見つけるのが私の睡眠不足のせいであると感じるのはなぜでしょうか。

誰かがこの問題について洞察を持っているなら、それはありがたいです。

前もって感謝します。

4

1 に答える 1

1

Desire2Learn は、開発者が Valence Learning Framework API で使用される認証プロトコルについて学び、理解し、より慣れるのに役立つように設計された、教育ツールとしてのみ役立つ入門サンプル アプリケーションを意図しています。そのため、通常のセットアップではユーザーが通常表示しない情報が表示されます。入門サンプルは、運用アプリケーションの構築に関するベスト プラクティスの参照アプリケーションとして使用しないでください。特に、アプリケーションとユーザーの資格情報を処理する方法に関しては注意が必要です。実稼働レベルのアプリケーションを構築する方法の例については、ブック ウィジェットのサンプルをご覧ください。アプリケーションテストコードを見つけることができますDesire2Learn の GitHub プロジェクト サイトにあるブック ウィジェットのサンプル。このサンプルは、アプリケーションとユーザーの資格情報を処理する方法に関する現在のベスト プラクティスを示し、基本的な LTI ツール プロバイダー サービスを実装する方法も示しています。

于 2013-11-25T14:31:17.660 に答える