/nishio/ScrapboxのprivateプロジェクトのAPIを叩く の記事にあるように 、認証情報を抜き取れば PrivateプロジェクトのAPIを叩くことが可能ではあるが... sessionid.sid の情報が漏れてしまった場合の対処が難しい。

APIアクセスのための token を別途発行する機能が欲しい

token は任意の時点で revoke / 再発行できること

せめて現状の session.sid を revoke / 洗替え する機能は欲しいです

/nishio/ScrapboxのprivateプロジェクトのAPIを叩く の記事には... 以下の記述があって心許ない.. たぶん sid を取り出したアカウントを削除するしかないような..

cookieによるセッション機構の詳細は知りませんが、LogoutができるということはセッションIDが無効化されるか、セッションIDとアカウントの紐付けが解除されるということではないでしょうか

たしかにログアウトすると session.sid が無効化されますね

ただまだ以下の懸念がありそう

自分が所属する全 private project にアクセスできるのは(使い方にもよるけど)あんまり嬉しくない

Google アカウント生やせばいいじゃんという案もある

が、最近新しく Google アカウントを作るにはSMS認証が必要だったりしてわりとハードルが高い

G Suite という手もあるけどユーザー数ぶん課金額増えるし…

session.sid を紛失して session.sid を知っているのは悪い人だけという状況になった場合に、Scrapboxにはまだ「現在のセッション以外全部ログアウト」or「全セッションログアウト」機能がない

のでこちら側から無効化する手段がない

:+1:

全ての端末からログアウトをするボタンみたいなのがあれば、安心かなと思います