Alcuni provider OAuth (come Google o Facebook) concedono limitati privilegi alle app di terze parti e lo dichiarano chiaramente nella pagina di autorizzazione. Ad esempio, dicono che un'app può vedere chi sei e la tua lista di amici, ma non pubblicare sul muro. E così via.
Tuttavia non tutti i provider lo fanno. Con alcuni di essi, una volta che un utente autorizza l'app e il fornitore emette il token, apparentemente puoi fare qualsiasi cosa . Il consumatore può semplicemente mantenere il token e fare ciò che vuole come quell'utente - per anni (come nel caso di JIRA) a meno che non venga revocato esplicitamente dall'utente.
È corretto? Come gestisci questa follia, se un'API consente ad app di terze parti di impersonarti completamente senza limiti?
Pezzo pertinente di documenti di Atlassian (per l'esempio JIRA): link