從LTI到Valence的Desire2Learn身份驗證

Question

給定一個LTI請求，如何驗證Valence API？

我唯一看到的是：

Desire2Learn中的小部件和API

這似乎表明，當我們的外部學習工具從D2L服務器接收到POST時，我們可以發出Valence API身份驗證請求，該請求是以下形式的GET：

“ https：// {服務器域} / d2l / auth / api /令牌？x_a = {app id}＆x_b = {使用應用程序密鑰簽名的未編碼重定向網址}＆x_target = {已編碼重定向網址}”

D2L服務器將立即返回以下形式的響應：

{redirect url}？x_a = {令牌ID}＆x_b = {令牌密鑰}＆x_c = {用戶身份簽名}

而不要求用戶提供憑據。 我的問題是：

如果正確，由於請求中未指定用戶信息，D2L服務器如何識別正在請求身份驗證的用戶？

是否有某種會話信息必須附加到身份驗證請求url上，或者必須以cookie的形式附帶？

如果上面的描述不正確，給定LTI請求，外部學習工具如何通過Valence API進行身份驗證？

Answer 1

自動重定向僅在從BLTI或小部件回調的情況下發生。 這是由於瀏覽器仍然具有用於登錄用戶的會話（由會話cookie維護）而啟用的。

到達系統的獨立應用程序可能沒有該會話，並且將通過憑據提示。

另外兩個注意事項：-您可以通過呼叫“ whoami”檢索有關已登錄用戶的信息-用戶在首次使用應用程序時會收到提示，詢問他們是否希望該應用程序代表他們訪問數據。

更新：我將顯示LTI和價的基本樣本放在一起，並做了一個簡短的博客文章來更詳細地描述它