安全に PrivateプロジェクトのAPIを叩くための token 発行

/nishio/ScrapboxのprivateプロジェクトのAPIを叩くの記事にあるように、認証情報を抜き取れば PrivateプロジェクトのAPIを叩くことが可能ではあるが... sessionid.sid の情報が漏れてしまった場合の対処が難しい。

APIアクセスのための token を別途発行する機能が欲しい

token は任意の時点で revoke / 再発行できること

せめて現状の session.sid を revoke / 洗替えする機能は欲しいです

projectに所属する形でtokenがほしい

「自分が所属する全 private project にアクセスできるのは(使い方にもよるけど)あんまり嬉しくない」

+1 kzmi.icon

/nishio/ScrapboxのprivateプロジェクトのAPIを叩くの記事には... 以下の記述があって心許ない.. たぶん sid を取り出したアカウントを削除するしかないような..

このconnect.sidは2018年の今時点で2020年までexpiresしないやつなので当面アクセスできる。

もしうっかりこの情報を漏らしてしまった場合にリセットする方法があるかどうかは知らないので気をつける必要がある。

cookieによるセッション機構の詳細は知りませんが、LogoutができるということはセッションIDが無効化されるか、セッションIDとアカウントの紐付けが解除されるということではないでしょうかyuta0801.icon

たしかにログアウトすると session.sid が無効化されますねrinsuki.icon

ただまだ以下の懸念がありそう

自分が所属する全 private project にアクセスできるのは(使い方にもよるけど)あんまり嬉しくない

Google アカウント生やせばいいじゃんという案もある

が、最近新しく Google アカウントを作るにはSMS認証が必要だったりしてわりとハードルが高い

G Suite という手もあるけどユーザー数ぶん課金額増えるし…

session.sidを紛失してsession.sidを知っているのは悪い人だけという状況になった場合に、Scrapboxにはまだ「現在のセッション以外全部ログアウト」or「全セッションログアウト」機能がない

のでこちら側から無効化する手段がない

:+1: kzmi.iconMijinko_SD.iconfunwarioisii.iconはるひ.iconbsahd.icon

全ての端末からログアウトをするボタンみたいなのがあれば、安心かなと思いますMijinko_SD.icon