Проблемы безопасности при использовании Learning Locker LRS

У нас есть Learning Locker Сервер LRS работает. От нашего xAPI пакет, мы будем отправлять заявления в LRS после запуска курса.

Например, актер может запустить курс, запустив URL, file:///home/bijulal/Downloads/cap package/index_TINCAN.html?endpoint=https://<private ip>/lrs/ZB8PNT****/&auth=Basic RXpfWj******R0hMLUpUM****zowcVZuREk**********N&actor={"mbox":"mailto:rakesha@test.com","name":"Rakesha J","objectType":"Agent"}

В приведенном выше URL-адресе токен аутентификации, который мы отправляем, находится на уровне организации Учебного шкафчика. В каждой организации будет несколько пользователей.

Проблема, с которой мы сталкиваемся, заключается в том, что любой пользователь может запустить вышеуказанный URL и отправить мошеннические заявления в LRS. Они могут дать любую ценность для mbox и отправлять заявления на это имя.

Кроме того, если мы исключаем доступ к курсу для ученика со стороны приложения, он все равно может отправлять заявления непосредственно в LRS.

Существует ли какое-либо руководство по безопасности, предоставляемое Learning Locker, которое предоставляет токен аутентификации на уровне пользователя?

Спасибо.