0
我正在構建xAPI兼容LMS,使用https://learninglocker.net/作爲我們的LRS。管理員可以上傳包含xAPI包的zip文件。 LMS將解壓縮它,查找啓動文件,並允許用戶啓動該URL,爲我們的LRS傳遞憑據作爲查詢參數。然後,該軟件包可以將所需的任何內容直接發送到我們的LRS,而無需LMS控制它。如何避免從LMS啓動xAPI包時暴露LRS憑證
此外,由於LRS憑證在網址中處於普通視圖,因此精通技術的用戶可以使用它們將任何他們想要的記錄寫入LRS。
避免這種情況的標準方法是什麼?目前我能想到的唯一解決方案是不讓軟件包訪問我們的LRS,而是通過我們的LMS將所有請求代理給我們的LRS,並讓軟件包訪問該代理端點。
有沒有更好的方法?