应用程序所有者获得错误的访问令牌

Question

我偶然发现了一个奇怪的边缘情况。我不能 100% 确定我是否错过了某个条件，所以如果其他人能够重现，那将会很有趣。

• 假设我是一个应用程序的所有者
• ，并且另一个 Flattr 用户已连接到该应用程序
• ，并且我将我的 Flatrr 帐户与该应用程序连接
• ，并且我撤销了对我的 Flattr 帐户中该应用程序的访问权限
• ，然后再次连接了我的 Flattr 帐户，
• 我希望得到一个我的帐户的访问令牌，但
• 我获得了其他连接的 Flattr 帐户的访问令牌

这在使用时发生： Node.js 上的 Passport ，带有 passport-flattr 策略

此设置不在令牌端点上使用基本 OAuth，而是发送普通客户端凭据。

这似乎不是一个安全问题，因为应用程序的所有者已经可以访问连接到其应用程序的所有访问令牌。

Answer 1

Flattr API 中存在错误，现已修复。