我只是尝试使用this插件通过用户密钥身份验证来验证moodle。但是我不确定这是验证用户身份的安全方法,因为此插件仅检查用户名是否存在于moodle数据库中。并且任何人都可以猜出用户名并将发送请求发送到终点,这将为您提供经过身份验证的url。有人知道如何使其更加安全吗?还是这种方式不安全?
通过快速查看插件,通过调用Moodle Web服务创建了一次性URL。该Web服务调用仅适用于已通过专用令牌(已安全存储在进行Web服务调用以检索URL的服务器上)进行身份验证的用户。
只要您不提供私有令牌(例如,不要将其包含在发送给用户浏览器的JavaScript中),并且您不授予生成登录URL的一般权限,就可以了。
免责声明:我是一位经验丰富的Moodle开发人员,但是我没有查看所涉及的代码,仅涉及了基本原理。