Freecodecamp: Portée de l'authentification Github non valide

Créé le 24 nov. 2016  ·  6Commentaires  ·  Source: freeCodeCamp/freeCodeCamp

L'URL d'authentification de github est https://github.com/login?client_id=2b2a9dcc53df88ddf452&return_to=/login/oauth/authorize?client_id=2b2a9dcc53df88ddf452&redirect_uri=http://www.freecodecamp.com/auth/github/callback&response_type=code& scope=email

Ici, le paramètre scope=email n'est pas une portée valide selon https://developer.github.com/v3/oauth/#scopes

S'il est destiné à récupérer uniquement les données publiques d'un utilisateur, il n'est pas nécessaire de fournir scope .
Ou s'il est destiné à récupérer à la fois des données publiques et un identifiant de messagerie privé , alors scope doit être défini sur user:email .

Actuellement, en utilisant un scope invalide, seules les données publiques sont récupérées mais pas l'ID de messagerie privé ( si ce n'était pas intentionnel ).
https://github.com/FreeCodeCamp/FreeCodeCamp/blob/staging/server/passport-providers.js#L147
https://github.com/FreeCodeCamp/FreeCodeCamp/blob/staging/server/passport-providers.js#L161

Cela a été ajouté dans commit https://github.com/FreeCodeCamp/FreeCodeCamp/commit/2256f3ef6e2cfec7dd82b975ca5795ba792d2401

help wanted
Source
picture abhisekp

Commentaire le plus utile

Je suis sûr qu'il voulait dire vous @abhisekp ! : sweat_smile:

picture raisedadead le 30 nov. 2016
👍2 😄1

Tous les 6 commentaires

Étant donné que nous prévoyons de ne pas obtenir bientôt d'email-id de GitHub, et d'avoir juste un lien de profil et une synchronisation, devrions-nous simplement limiter cela à la portée des données publiques?

Oui, cela dit, la portée invalide doit encore être rectifiée.

/ cc @QuincyLarson , @BerkeleyTrue

raisedadead picture raisedadead le 24 nov. 2016

@raisedadead Je suis d'accord. Nous pouvons supprimer cette portée, car nous n'aurons plus besoin d'adresses e-mail via GitHub de toute façon.

@BerkeleyVrai si nous mettons à jour cette étendue, y a-t-il un risque de perdre les adresses e-mail des campeurs dans notre base de données?

QuincyLarson picture QuincyLarson le 24 nov. 2016

@QuincyLarson no loopback ne supprimera pas automatiquement les e-mails. Les e-mails que nous avons déjà ne seront pas supprimés.

Cette portée peut être supprimée en toute sécurité.

BerkeleyTrue picture BerkeleyTrue le 29 nov. 2016

@BerkeleyTrue OK - super. Merci de confirmer cela. @abhisekp puisque vous avez découvert ce problème, souhaitez-vous être le contributeur pour créer la pull request?

QuincyLarson picture QuincyLarson le 30 nov. 2016
😕1 😄1

Je suis sûr qu'il voulait dire vous @abhisekp ! : sweat_smile:

raisedadead picture raisedadead le 30 nov. 2016
👍2 😄1

@raisedadead oui, merci de m'avoir corrigé. Je voulais dire @abhisekp. Je n'ai pas réussi à faire défiler jusqu'en haut du problème 🙂

QuincyLarson picture QuincyLarson le 30 nov. 2016
Cette page vous a été utile?
0 / 5 - 0 notes

Questions connexes

MichaelLeeHobbs picture MichaelLeeHobbs  ·  3Commentaires
kokushozero picture kokushozero  ·  3Commentaires
MelissaManning picture MelissaManning  ·  3Commentaires
EthanDavis picture EthanDavis  ·  3Commentaires
Tzahile picture Tzahile  ·  3Commentaires