从LTI到Valence的Desire2Learn身份验证

Question

给定一个LTI请求，如何验证Valence API？

我唯一看到的是：

Desire2Learn中的小部件和API

这似乎表明，当我们的外部学习工具从D2L服务器接收到POST时，我们可以发出Valence API身份验证请求，该请求是以下形式的GET：

“ https：// {服务器域} / d2l / auth / api /令牌？x_a = {app id}＆x_b = {使用应用程序密钥签名的未编码重定向网址}＆x_target = {已编码重定向网址}”

D2L服务器将立即返回以下形式的响应：

{redirect url}？x_a = {令牌ID}＆x_b = {令牌密钥}＆x_c = {用户身份签名}

而不要求用户提供凭据。 我的问题是：

如果正确，由于请求中未指定用户信息，D2L服务器如何识别正在请求身份验证的用户？

是否有某种会话信息必须附加到身份验证请求url上，或者必须以cookie的形式附带？

如果上面的描述不正确，给定LTI请求，外部学习工具如何通过Valence API进行身份验证？

Answer 1

自动重定向仅在从BLTI或小部件回调的情况下发生。 这是由于浏览器仍然具有用于登录用户的会话（由会话cookie维护）而启用的。

到达系统的独立应用程序可能没有该会话，并且将通过凭据提示。

另外两个注意事项：-您可以通过呼叫“ whoami”检索有关已登录用户的信息-用户在首次使用应用程序时会收到提示，询问他们是否希望该应用程序代表他们访问数据。

更新：我将显示LTI和价的基本样本放在一起，并做了一个简短的博客文章来更详细地描述它