Questo significa che chiunque abbia in vista quel QR-code può impersonarmi ? Perdonami, ma non mi sembra proprio consigliabile.
In ogni caso visto che il QR-code contiene al massimo una URL, questo significa che dovresti codificare dentro al QR-code (di generatori è pieno il mondo) una URL (che punta a https://tuosito/login.php) che contenga login e password utente come parametri.
Peccato però che con le attuali configurazioni di moodle, questo sia ormai impossibile (a meno di disabilitare importanti configurazioni di sicurezza) perchè per fare login con una "GET" devi possedere preventivamente il token generato per la sessione altrimenti anche se le credenziali sono corrette, non verrai ammesso e nell'error_log dovresti trovare appunto un messaggio di "missing token".
Magari sbaglio, ma io non procederei oltre.