我無意中爲我的應用程序設置了scope = user-read-private,發現仍然可以創建播放列表並向它們添加音軌。我本來會期待一個'未經授權'的迴應。創建播放列表不需要scope = playlist-modify-private
有2個範圍,我本來期望來控制這種訪問 播放列表 - 修改 - 公共 播放列表 - 修改 - 私人
它們不會出現是多餘的。
有其他人能夠證實此行爲嗎?
編輯:看起來,您爲應用程序請求的範圍僅被檢查爲已爲應用程序請求的現有總範圍的一部分。如果您減少了要求的範圍,它不會縮小總範圍,因此預存部件仍然存在。
有足夠的playlist-modify-public範圍,你只是不能創建私人播放列表。在我們的開發者網站上閱讀關於public, private and collaborative model的更多信息。
我已閱讀並理解此模型。我上面說的是我可以創建一個私人或公共播放列表,並通過一個只有scope = user-read-private的應用程序添加曲目。 –
有趣的是,這聽起來像是一個bug。你能否將它歸檔到Github存儲庫中 - https://github.com/spotify/web-api/issues/new? –
進一步調查顯示我錯了。當使用刷新令牌時,它揭示應用程序已經具有必要的範圍部分。 我只要求只讀部分,但它似乎並沒有減少已經存在的範圍從以前的請求。 現在可以考慮回答這個問題了。 –
我無法通過https://developer.spotify.com/web-api/console/post-playlists/上的開發人員控制檯嘗試確認此行爲,並僅設置scope = user-read-private。我得到403「客戶範圍不足」。這在https://github.com/spotify/web-api比這裏更像是一個問題。 – jooon