我使用express.js框架创建了一个简单的"hello-world"Web应用程序.
我希望该应用程序符合IMS-LTI标准,以便moodle和其他学习管理系统可以将其作为外部工具启动.
但是,我不明白如何在我的应用程序中验证LTI启动(它使用oauth),我找不到任何express.js/node.js如何完成它的示例.我看到存在passport-lti节点模块(https://www.npmjs.org/package/passport-lti),但作为节点的菜鸟我只是不了解稀疏文档.
我使用passport.js创建本地身份验证 - 使用此视频(https://www.youtube.com/watch?v=twav6O53zIQ),我希望LTI启动身份验证提供类似帮助...
任何帮助表示赞赏.
干杯,奥利
我一直在考虑使用 oauth2 客户端凭据授予来保护我的 API(所有用户都将是受信任的第三方)。我在这里遵循与贝宝相同的方法:https ://developer.paypal.com/docs/integration/direct/paypal-oauth2/
但是,我看到 HTTP:// basic auth 用于获取不记名令牌。然后,使用不记名令牌来保护 API 调用的安全。
我不明白的是,如果您要信任 TLS 和 http: basic auth 来检索不记名令牌 - 为什么不只使用 http: basic auth 进行 API 调用?使用不记名代币有什么好处?
我缺少什么?
我们的 API 将允许用户下载文件(10mb - 500mb)。
REST 端点将是
/downloads/*content-id*
其中内容 ID 是对我们服务器上文件的引用。
我认为 HTTP 方法应该是 GET,因为它试图检索某些内容。但是,由于我希望用户能够暂停下载以便稍后恢复,因此我还需要将接收到的字节参数传递给端点。
我应该将其作为查询参数吗?
/downloads/*content-id*?bytesReceived=123
或者我应该将收到的字节添加到请求正文中,如果是这样,我是否应该不再使用 GET ?
另外,作为第二个q。我正在使用八位字节流内容类型来下载文件 - 正如我所知,这种内容类型最能让我暂停下载并稍后恢复。解压后,该文件将是一些 HTML5 内容(带有 js/css)。这是最好的方法吗?
我是一名为 SSO 开发 SAML 2.0 功能的 SP。
SSO 将始终从 IdP 启动(用户将从他们已登录的企业门户访问我的网站)。
因此,我想要了解的是,我是否应该只提供主动提供的(IdP 发起的)SSO,或者开发请求的(SP 发起的)SSO 是否仍然是最佳实践。如果是后者,那么为什么我需要增加复杂性?