Twitter@anywhere安全漏洞？

我正在基于@anywhere在网页上开发一个Twitter应用程序

我认为@anywhere是Facebook Javascript SDK的Twitter版本（也许这就是我错的地方）

不管怎样，事情是这样的

你把“连接Twitter”代码放在你的网页上，如果用户使用Twitter登录并授权你的应用程序，那么你可以用它做任何你想做的事情

因此，如果@user_a使用他的Twitter帐户登录并访问你的网站，你可以做一些有趣的事情，比如向@user_a显示关注者或向他们的帐户发送tweet或其他任何东西

问题是这样发展的。假设@user\u a已经登录到您的应用程序中，然后@user\u a退出twitter（因为它是一台公共计算机：/），然后其他人以@user\u b的身份登录twitter。如果@user\u b进入您的@anywhere网页，它将看到一切，就好像@user\u a已登录一样！D:

Twitter说这一切都很好，因为一切都基于cookie，你应该为用户提供一个从@anywhere注销网站的按钮。对我来说，这听起来不切实际，因为如果你（用户）想停止使用twitter，你只需从网页上注销即可（就像在Facebook上）；你不应该记住，你已经连接到Twitter上的网站是谁的，而只是为了保护自己不受其他人使用你的帐户的影响，你应该访问他们并从他们那里注销。更糟糕的是，饼干很容易被盗，你知道故事的其余部分

---

我做错什么了吗？我是否认为@anywhere API与它的预期有所不同？

@anywhere不宣传自己是一个应用程序，因此它不需要单一的签核机制。其想法是使用@anywhere登录到其他站点，此时这些站点负责处理会话，包括何时注销用户。就像用户使用两种不同的密码登录站点a和站点b一样，他们有责任在每个站点上签名

---

虽然@anywhere代币保持活动状态可以允许后续用户使用，但这些代币仅在几个小时内处于活动状态，从而限制了潜在的损害。

我认为他们可能面临巨大的流量。。。我希望我的应用程序速度慢，并且因为流量大而经常宕机。好吧，当他们离开我的网站时，注销应该由我自己处理。