Moodle用户密钥认证,安全吗?
Moodle user key authentication,is it safe?
我只是想使用 this 插件通过用户密钥身份验证来验证 moodle。但我不确定这是对用户进行身份验证的安全方法,因为此插件仅检查用户名是否存在于 moodle 数据库中。任何人都可以猜测用户名并向端点发送 post 请求,它会给你经过身份验证的 url.is 有人知道如何使它更安全吗?还是这种方式不安全?
通过快速查看插件,一次性 URL 是通过调用 Moodle 网络服务创建的。该网络服务调用仅适用于通过私人令牌进行身份验证的用户(该令牌将安全地存储在进行网络服务调用以检索 URL 的服务器上)。
只要您不提供私人令牌(例如,不将其包含在发送到用户浏览器的 JavaScript 中)并且您不授予生成登录名的一般权限URLs,你应该没事的。
免责声明:我是一名经验丰富的 Moodle 开发人员,但我没有审查问题代码,只审查了涉及的基本原理。
我只是想使用 this 插件通过用户密钥身份验证来验证 moodle。但我不确定这是对用户进行身份验证的安全方法,因为此插件仅检查用户名是否存在于 moodle 数据库中。任何人都可以猜测用户名并向端点发送 post 请求,它会给你经过身份验证的 url.is 有人知道如何使它更安全吗?还是这种方式不安全?
通过快速查看插件,一次性 URL 是通过调用 Moodle 网络服务创建的。该网络服务调用仅适用于通过私人令牌进行身份验证的用户(该令牌将安全地存储在进行网络服务调用以检索 URL 的服务器上)。
只要您不提供私人令牌(例如,不将其包含在发送到用户浏览器的 JavaScript 中)并且您不授予生成登录名的一般权限URLs,你应该没事的。
免责声明:我是一名经验丰富的 Moodle 开发人员,但我没有审查问题代码,只审查了涉及的基本原理。