起因
很早以前,我注册过一个叫做“黑客派”的论坛,后来这个论坛改名为“链滴”。
当时论坛提供了使用 Github 账号授权登录,由于早期并未注意过 GitHub 登录授权的权限问题。 被站长直接控制 Github 账号去执行 star 和 follow 操作,相关帖子可以看:https://v2ex.com/t/534800
谷歌搜索已无主站入口:
直接搜索最新网址,发现一篇道歉信排名靠前,可想此事当时影响挺大的。
但是非注册用户点击却无法阅读,啥意思?只给注册用户道歉?
使用 web achive 服务拉取到道歉信内容:
最近我尝试登录这个账号并提交账号注销申请,按照他的网站说明:来去自由·关于支持永久停用账号。
但是似乎并不是那么回事。
申请注销时提示更新失败 - Can not deactivate moderator account。于是只能手动将自己以往再次网站发的帖子全部改成:
在体用账号帖子留言后,账号被封禁,而不是被停用。
最后,我们再看下链滴作者 D 的博客 https://88250.b3log.org 评论系统,使用 Github 登录时所需要的权限:
授权登录时需要的权限
在初次注册登录时,都会出现以下界面,可以点击右侧红框下拉按钮,展开所有的权限。实际上,如果仅用于注册网站,需要一个唯一的注册ID的话,获取邮箱地址的权限就足够了。 图片中显示了 julia 语言论坛授权登录权限信息:
查看 Github 账户已授权网站
在 Github 账户设置界面依次点击:Integrations -> Applications -> Authorized OAuth Apps:
如果需要看各自的授权权限点开即可查看:
如果认为该权限太高,可以点击右侧的 Revoke access。
国内版 Github?
最后,我们来看看号称国内版 Github 的码云使用 Github 授权时需要的权限:
请问要读写用户的 Followers 做什么?