应用程序的所有者获取访问令牌的错误

时间:2012-02-12 23:06:04

标签: node.js oauth passport.js flattr

我偶然发现了一个奇怪的边缘案例。我不是100%肯定我是否错过了一个条件,所以如果其他人可以复制它会很有趣。

  • 鉴于我是应用的所有者
  • 和另一个Flattr用户已连接到此应用
  • 我将Flatrr帐户与应用
    • 相关联
  • 我取消了对Flattr帐户中应用的访问权限
  • 我再次连接我的Flattr帐户
  • 我希望为我的帐户获取访问令牌,但
  • 我获得了另一个连接的Flattr帐户的访问令牌

使用时发生这种情况: 具有Passport

的Node.js上的passport-flattr strategy

此设置不在令牌端点上使用基本OAuth,而是发送纯客户端凭据。

这似乎不是一个安全问题,因为该应用的所有者已经可以访问连接到其应用的所有访问令牌。

1 个答案:

答案 0 :(得分:0)

Flattr API中存在错误,现在已修补。

相关问题
最新问题