<p>My main concern here is that I suspect our UI around permissions is not good enough - for example I don't think we allow users to control what permissions they grant do we? They have to either accept or reject whatever the application asks for?</p>
<p>Certainly before we can allow this we need to be absolutely sure that the users are entirely clear that they are consenting to reveal this.</p>
<p>What's the use case for this anyway? It strikes me that this is really of interest when using OAuth as an authentication mechanism, which we have always considered out of scope - our OAuth implementation was intended to allow users access to OSM rather than to allow other sites to authenticate against our user database.</p>

<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br />You are receiving this because you are subscribed to this thread.<br />Reply to this email directly, <a href="https://github.com/openstreetmap/openstreetmap-website/pull/1431#issuecomment-278490379">view it on GitHub</a>, or <a href="https://github.com/notifications/unsubscribe-auth/ABWnLaxxje_-Y9mySj4IItjf4bTLcsUtks5rakihgaJpZM4L7ara">mute the thread</a>.<img alt="" height="1" src="https://github.com/notifications/beacon/ABWnLU9OIijQqWgiXZhbD_8Edav3PXGYks5rakihgaJpZM4L7ara.gif" width="1" /></p>
<div itemscope itemtype="http://schema.org/EmailMessage">
<div itemprop="action" itemscope itemtype="http://schema.org/ViewAction">
  <link itemprop="url" href="https://github.com/openstreetmap/openstreetmap-website/pull/1431#issuecomment-278490379"></link>
  <meta itemprop="name" content="View Pull Request"></meta>
</div>
<meta itemprop="description" content="View this Pull Request on GitHub"></meta>
</div>

<script type="application/json" data-scope="inboxmarkup">{"api_version":"1.0","publisher":{"api_key":"05dde50f1d1a384dd78767c55493e4bb","name":"GitHub"},"entity":{"external_key":"github/openstreetmap/openstreetmap-website","title":"openstreetmap/openstreetmap-website","subtitle":"GitHub repository","main_image_url":"https://cloud.githubusercontent.com/assets/143418/17495839/a5054eac-5d88-11e6-95fc-7290892c7bb5.png","avatar_image_url":"https://cloud.githubusercontent.com/assets/143418/15842166/7c72db34-2c0b-11e6-9aed-b52498112777.png","action":{"name":"Open in GitHub","url":"https://github.com/openstreetmap/openstreetmap-website"}},"updates":{"snippets":[{"icon":"PERSON","message":"@tomhughes in #1431: My main concern here is that I suspect our UI around permissions is not good enough - for example I don't think we allow users to control what permissions they grant do we? They have to either accept or reject whatever the application asks for?\r\n\r\nCertainly before we can allow this we need to be absolutely sure that the users are entirely clear that they are consenting to reveal this.\r\n\r\nWhat's the use case for this anyway? It strikes me that this is really of interest when using OAuth as an authentication mechanism, which we have always considered out of scope - our OAuth implementation was intended to allow users access to OSM rather than to allow other sites to authenticate against our user database."}],"action":{"name":"View Pull Request","url":"https://github.com/openstreetmap/openstreetmap-website/pull/1431#issuecomment-278490379"}}}</script>