【发布时间】:2012-03-04 10:39:34
【问题描述】:
我偶然发现了一个奇怪的边缘案例。我不能 100% 确定我是否错过了一个条件,所以如果其他人能够重现会很有趣。
- 假设我是某个应用的所有者
- 另一个 Flattr 用户已连接到此应用
- 然后我将我的 Flatrr 帐户与应用程序关联
- 我在我的 Flattr 帐户中撤消了对应用程序的访问权限
- 然后我再次连接了我的 Flattr 帐户
- 我希望为我的帐户获得一个访问令牌,但是
- 我获得了另一个连接的 Flattr 帐户的访问令牌
这发生在使用: Passport 在 Node.js 上使用 passport-flattr strategy
此设置不在令牌端点上使用基本 OAuth,而是发送纯客户端凭据。
这似乎不是安全问题,因为应用的所有者已经可以访问与其应用相关的所有访问令牌。
【问题讨论】:
-
我似乎无法用我们的测试软件重现这一点。将尝试使用护照和您的策略。
-
现在已复制和修补。 ;)
标签: node.js oauth passport.js flattr