このドキュメントは、起動されたアクティビティに渡される認証トークン パラメータについて言及しています。
https://github.com/RusticiSoftware/launch/blob/master/lms_lrs.md
このパラメーターとは何ですか? また、許可するステートメントでどのように使用/LRS に戻されますか? API 仕様は、異なるパラメーターを使用する OAuth と、ユーザー名/パスワードである http 基本認証のみを参照しています。
https://github.com/adlnet/xAPI-Spec/blob/master/xAPI.md#security
「auth」クエリ文字列値は、HTTP 基本認証用であり、HTTP Authorization ヘッダーの「Basic」の後に渡されます。リンクしたドキュメントからはまったく明らかではありません。それが、現在の採用者がそれを実装した方法です。基本認証は base64 でエンコードされたユーザー名/パスワードを想定しているため、実際には、LMS によって送信されるトークンは base64 でエンコードされたユーザー名/パスワードでなければなりませんが、クライアントはそれを検査する必要はありません。
いくつかの歴史: 私は当初、LRS を LRS と統合する方法の提案としてこのドキュメントを作成し、xAPI 仕様の開発中にいくつかのフィードバックと改善を期待していました。それは実現していませんが、その間に xAPI コンテンツを起動する方法に対する需要があり、このメカニズムは広く採用されています。CMI-5 には起動メカニズムが含まれる予定で、このメカニズムを出発点として使用しています: https://github.com/AICC/CMI-5_Spec_Current/blob/master/cmi5_runtime.md#80-content-launch-mechanisms . CMI-5 はまだ変更される可能性があるため、今のところ人々はこの起動メカニズムに固執していますが、置き換えられることが予想されるため、それを改良することには特に関心がありません.
とはいえ、あなたが提起した省略は深刻であり、起動メカニズムが実際にどのように使用されているかに基づいて、いくつかの説明を追加する時が来るかもしれません.