私はLAPとしてhttps://learninglocker.net/を使用してxAPI準拠のLMSを構築しています。管理者は、xAPIパッケージを含むzipファイルをアップロードできます。 LMSはそれを解凍し、起動ファイルを見つけ、そのURLを起動して、LRSの認証情報をクエリパラメータとして渡します。パッケージは、LMSに何も制御することなく、必要なものをLRSに直接報告することができます。LMSからxAPIパッケージを起動するときにLRSの資格情報が表示されないようにする方法
さらに、LRSの資格情報はURLに明示的に表示されているため、技術に精通したユーザーはそれらを使用して、必要なレコードをLRSに書き込むことができます。
これを避けるための標準的なアプローチは何ですか?私が考えることができる唯一の解決策は、パッケージにLRSへのアクセス権を与えず、代わりにLMSを介してLRSにすべての要求をプロキシし、そのプロキシエンドポイントにパッケージにアクセスできるようにすることです。
良いアプローチがありますか?