generated at
安全に PrivateプロジェクトのAPIを叩くための token 発行

/nishio/ScrapboxのprivateプロジェクトのAPIを叩く の記事にあるように 、認証情報を抜き取れば PrivateプロジェクトのAPIを叩くことが可能ではあるが... sessionid.sid の情報が漏れてしまった場合の対処が難しい。
APIアクセスのための token を別途発行する機能が欲しい
token は任意の時点で revoke / 再発行できること

せめて現状の session.sid を revoke / 洗替え する機能は欲しいです

projectに所属する形でtokenがほしい
「自分が所属する全 private project にアクセスできるのは(使い方にもよるけど)あんまり嬉しくない」
+1 kzmi

/nishio/ScrapboxのprivateプロジェクトのAPIを叩く の記事には... 以下の記述があって心許ない.. たぶん sid を取り出したアカウントを削除するしかないような..
このconnect.sidは2018年の今時点で2020年までexpiresしないやつなので当面アクセスできる。
もしうっかりこの情報を漏らしてしまった場合にリセットする方法があるかどうかは知らないので気をつける必要がある。
cookieによるセッション機構の詳細は知りませんが、LogoutができるということはセッションIDが無効化されるか、セッションIDとアカウントの紐付けが解除されるということではないでしょうかyuta0801
たしかにログアウトすると session.sid が無効化されますねrinsuki
ただまだ以下の懸念がありそう
自分が所属する全 private project にアクセスできるのは(使い方にもよるけど)あんまり嬉しくない
Google アカウント生やせばいいじゃんという案もある
が、最近新しく Google アカウントを作るにはSMS認証が必要だったりしてわりとハードルが高い
G Suite という手もあるけどユーザー数ぶん課金額増えるし…
session.sid を紛失して session.sid を知っているのは悪い人だけという状況になった場合に、Scrapboxにはまだ「現在のセッション以外全部ログアウト」or「全セッションログアウト」機能がない
のでこちら側から無効化する手段がない
:+1: kzmiMijinko_SDfunwarioisiiはるひbsahd
全ての端末からログアウトをするボタンみたいなのがあれば、安心かなと思いますMijinko_SD