Tin Can API xAPI向LRS發送安全聲明

Question

關於xAPI，我似乎無法想象。 我將嘗試保持這個非常簡單。（甚至可能是愚蠢的）

我明白是真的......

任何Tin Can實現的內容都可以使用啟動器啟動。 啟動器提供端點和身份驗證信息端點不必是LRS。 它可以是一個腳本，然后傳遞給最終端點，即LRS。 在這種情況下，LRS（私有SCORM雲（沙箱））無法在沒有基本身份驗證的情況下接收語句。

我需要知道的......

LRS是否生成OAuth令牌？ 如何將Captivate，Storyline，lectora文件中的聲明傳遞給TinCan_PHP以處理與LRS的安全連接？ 當基本身份驗證信息很容易向最終用戶廣播時，為什么我會使用TinCan.JS，這可能會被用來對LRS造成傷害？

我完全偏離了軌道嗎？

非常感謝...

Answer 1

根據您的理解，對未來的用戶進行一些澄清......

啟動器可以提供端點和身份驗證，這是一種情況，可能基於0.9規范提出的啟動指南 。 還有其他方法來處理握手，例如cmi5如何這樣做（除了證書只能被請求一次並且故意被拒絕某些特權，例如聲明失效）之外，這不一定更安全。

我會認為您的“腳本”是“不符合”的LRS，因為它接收語句（以xAPI請求的形式），但不提供完整的LRS一致性。 SCORM Cloud的LRS在沒有一些身份驗證的情況下無法接收語句，但您是正確的基本首選是因為OAuth對於生產沒有多大意義。

對於問題......

1. 是的，LRS生成OAuth令牌，但對於最常見的方法，內容必須與LRS建立已建立的關系， 並且基於OAuth的帳戶必須位於LRS（或LRS緊密耦合的系統，如LMS） 不在野外使用某些OAuth提供商（意味着您不能在Twitter，Facebook或Google等上使用帳戶，這是人們常常感到困惑的部分）。

2. 他們不會，這些產品都支持通過啟動指南（Basic Auth）直接與LRS通信，他們正在與之通信的任何系統必須至少具有足夠的LRS功能來支持它們，其中包括Statements API之外的State API 。

3. TinCanJS本身並不是一個僅限瀏覽器的解決方案，有人在服務器端運行它，因此語言實際上是一個單獨的問題。 也可以在公共啟動范例之外使用TinCanJS，並且在這種情況下，用戶可能具有所討論的LRS（或與LRS耦合的系統）的個人憑證並且他們自己輸入。 bookmarklet是一個很好的示例應用程序。

具有憑證的所有集合的底線是，確保你的應用程序與LRS通過HTTP S IN這種情況下使用的憑據是不是開交談，然后與LRS供應商檢查，看是否有可能使用的憑據這是短暫的，權限有限。 對於正確實現的LRS而言，如果沒有排除聲明或覆蓋（刪除）存儲的文檔，則可能會受到很小的“傷害”，這兩者在使用適當的權限方案和有限的憑證時都會受到限制。

Answer 2

要回答你的問題，是的，你完全偏離軌道！ :-)

如果您要將基於javascript的電子學習課程的語句發送到某個地方 ，那么連接本身就不安全。 在不安全的連接之后在鏈中添加另一個（安全或其他）鏈接不會增加您的安全性。 您也可以將xAPI語句直接發送到LRS。

您也可以使用基本HTTP身份驗證。 首先，這就是所有創作工具所支持的，所以你必須這樣做。 其次，使用OAuth而不是Basic Auth進行客戶端連接就像使用密鑰鎖而不是組合鎖，然后將密鑰保留在mat下。 密鑰鎖（OAuth）在理論上可能比組合鎖（Basic Auth）更安全，但如果您將密鑰留在門墊下（嵌入在客戶端代碼中），則實際上不安全。

看到這個太問題的答案對的你可以做XAPI安全認證什么三個選項。

並且只是為了完整性：是的，在OAuth的情況下，LRS生成令牌。 有關最新的詳細信息，請參閱xAPI規范 。