很早以前,我注册过一个叫做“黑客派”的论坛,后来这个论坛改名为“链滴”。
当时论坛提供了使用 Github 账号授权登录,由于早期并未注意过 GitHub 登录授权的权限问题。 被站长直接控制 Github 账号去执行 star 和 follow 操作。
谷歌搜索已无主站入口:
直接搜索最新网址,发现一篇道歉信排名靠前,可想此事当时影响挺大的。
但是非注册用户点击却无法阅读,啥意思?只给注册用户道歉?
使用 web achive 服务拉取到道歉信内容:
授权登录时需要的权限
在初次注册登录时,都会出现以下界面,可以点击右侧红框下拉按钮,展开所有的权限。实际上,如果仅用于注册网站,需要一个唯一的注册ID的话,获取邮箱地址的权限就足够了。 图片中显示了 julia 语言论坛授权登录权限信息:
查看 Github 账户已授权网站
在 Github 账户设置界面依次点击:Integrations -> Applications -> Authorized OAuth Apps:
如果需要看各自的授权权限点开即可查看:
如果认为该权限太高,可以点击右侧的 Revoke access。
国内版 Github?
最后,我们来看看号称国内版 Github 的码云使用 Github 授权时需要的权限:
请问要读写用户的 Followers 做什么?