Hi John - can you elaborate a bit more on why it's a "real security problem" in the Twitter case? Can you outline an example exploit?<div><br></div><div>Thanks</div><div>Allen</div><div><br><div class="gmail_quote">
On Tue, Aug 16, 2011 at 4:31 PM, John Bradley <span dir="ltr"><<a href="mailto:ve7jtb@ve7jtb.com">ve7jtb@ve7jtb.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<br>
The two tokens have potentially different scopes and lifetimes.<br>
<br>
There are good reasons for separating resource authorization from session authentication.<br>
<br>
It is true that twitter and others confuse those.   That however is a real security problem.<br>
<br></blockquote></div></div>