私は奇妙なエッジケースに出くわしました。条件を逃したかどうかは100%確信が持てないので、他の人が再現できれば興味深い.
- 私がアプリの所有者であることを考えると
- 別の Flattr ユーザーがこのアプリに接続しています
- Flatrrアカウントをアプリに接続します
- Flattrアカウントでアプリへのアクセスを取り消します
- Flattrアカウントを再度接続します
- アカウントのアクセス トークンを取得する予定ですが、
- 接続されている他の Flattr アカウントのアクセス トークンを取得します
これ は、 passport-flattr 戦略を使用した Node.js のPassportを使用した場合に発生しました。
この設定では、トークン エンドポイントで Basic OAuth を使用しませんが、代わりにプレーンなクライアント資格情報を送信します。
アプリの所有者は、そのアプリに接続されているすべてのアクセス トークンに既にアクセスできるため、これはセキュリティ上の問題ではないようです。