<p></p>
<p>Regarding updating an application, I found out that this has no impact on existing tokens. While this seems reasonable in case of adding more scopes (you could otherwise trick a user into accepting only a minimum set of scopes and extend later on without them knowing), I'm not sure about removing scopes:<br>
As an example, I'm still able to read user preferences (read_prefs is include in my scopes), although this scope has been withdrawn in the oauth application in the menatime. When calling the user details endpoint, my token scope has higher precedence than the application scopes.</p>

<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br />You are receiving this because you are subscribed to this thread.<br />Reply to this email directly, <a href="https://github.com/openstreetmap/openstreetmap-website/pull/3177#issuecomment-820197047">view it on GitHub</a>, or <a href="https://github.com/notifications/unsubscribe-auth/AAK2OLLW4J6BVHQ7P24SCHTTI2KAPANCNFSM4234LSSQ">unsubscribe</a>.<img src="https://github.com/notifications/beacon/AAK2OLJ4IHEAM64MBERV3NDTI2KAPA5CNFSM4234LSS2YY3PNVWWK3TUL52HS4DFVREXG43VMVBW63LNMVXHJKTDN5WW2ZLOORPWSZGOGDRTNNY.gif" height="1" width="1" alt="" /></p>
<script type="application/ld+json">[
{
"@context": "http://schema.org",
"@type": "EmailMessage",
"potentialAction": {
"@type": "ViewAction",
"target": "https://github.com/openstreetmap/openstreetmap-website/pull/3177#issuecomment-820197047",
"url": "https://github.com/openstreetmap/openstreetmap-website/pull/3177#issuecomment-820197047",
"name": "View Pull Request"
},
"description": "View this Pull Request on GitHub",
"publisher": {
"@type": "Organization",
"name": "GitHub",
"url": "https://github.com"
}
}
]</script>