我偶然发现了一个奇怪的边缘案例。我不是 100% 确定我是否错过了一个条件,所以如果其他人可以重现会很有趣。
- 鉴于我是应用程序的所有者
- 另一个 Flattr 用户已连接到此应用
- 我将我的 Flatrr 帐户与该应用程序连接起来
- 我在我的 Flattr 帐户中撤销了对应用程序的访问权限
- 我再次连接我的 Flattr 帐户
- 我希望为我的帐户获得一个访问令牌,但是
- 我获得了另一个连接的 Flattr 帐户的访问令牌
这发生在使用: Passport on Node.js with the passport-flattr strategy
此设置不在令牌端点上使用基本 OAuth,而是发送纯客户端凭据。
这似乎不是一个安全问题,因为应用程序的所有者已经可以访问与其应用程序连接的所有访问令牌。