安全に PrivateプロジェクトのAPIを叩くための token 発行
APIアクセスのための token を別途発行する機能が欲しい
token は任意の時点で revoke / 再発行できること
projectに所属する形でtokenがほしい
「自分が所属する全 private project にアクセスできるのは(使い方にもよるけど)あんまり嬉しくない」
+1
このconnect.sidは2018年の今時点で2020年までexpiresしないやつなので当面アクセスできる。
もしうっかりこの情報を漏らしてしまった場合にリセットする方法があるかどうかは知らないので気をつける必要がある。
cookieによるセッション機構の詳細は知りませんが、LogoutができるということはセッションIDが無効化されるか、セッションIDとアカウントの紐付けが解除されるということではないでしょうか
たしかにログアウトすると
session.sid
が無効化されますね
ただまだ以下の懸念がありそう
自分が所属する全 private project にアクセスできるのは(使い方にもよるけど)あんまり嬉しくない
Google アカウント生やせばいいじゃんという案もある
が、最近新しく Google アカウントを作るにはSMS認証が必要だったりしてわりとハードルが高い
G Suite という手もあるけどユーザー数ぶん課金額増えるし…
session.sid
を紛失して session.sid
を知っているのは悪い人だけという状況になった場合に、Scrapboxにはまだ「現在のセッション以外全部ログアウト」or「全セッションログアウト」機能がない
のでこちら側から無効化する手段がない