
<p></p>

<blockquote>

<ul dir="auto">

<li>Sending the user to /login?referer=%2Fuser%2Fusername%2Fblocks is a workaround that somewhat works for non-needs_view blocks too and is not affected by GDPR. (*)</li>

</ul>

</blockquote>

<blockquote>

<ul dir="auto">

<li>Don't care about non-needs_view blocks and want a simpler workaround? Send users to /login. (**)</li>

</ul>

</blockquote>

<p dir="auto">Hmmm, does doing either of those "workarounds" automatically display block message to the user of the app (to simplify, assume that user has just installed the app on a new device, and clicked login, which opened webview for them to complete the OAuth login flow, but they are blocked)?  Is the block message displayed to the user?</p>

<p dir="auto">If not, how is it "workaround" at all? The whole point of this issue (as I understand it) is the problem that <em>"blocks with needs_view flag are not shown when user does OAuth authorization"</em>.</p>

<blockquote>

<p dir="auto">Something that already happens is that some apps lie to their users that the token is invalid, although they could have checked it.</p>

</blockquote>

<p dir="auto">I don't know exact internals of either of the mentioned apps, but I guess if they have made extra checks and extra workarounds on receiving 403, that it was not because they were bored, but because doing that have solved (or worked around, if you prefer) some particular issue(s) that they've had in the past. Do we know what those issues were?<sup><a href="#user-content-fn-1-35559c5614308f5def4f0f8e70f89dfc" id="user-content-fnref-1-35559c5614308f5def4f0f8e70f89dfc" data-footnote-ref="" aria-describedby="footnote-label">1</a></sup></p>

<blockquote>

<p dir="auto">It isn't because the problem here is for the apps that want to display the message inside the app. Your suggestion is for the apps that don't want it.</p>

</blockquote>

<p dir="auto">Yes, my suggestion was for the general case. I have no problems with the idea that <strong>in addition</strong> to such <em>always-works</em> case, there is an <em>additional</em> new API endpoint for apps which prefer more fine-grained handling of the situation.</p>

<p dir="auto">But if they don't implement those optionals;  I think OSM itself (during OAuth flow) should still display block message while it has control over flow and formatting (i.e. HTML renderer by app using webview while attempting to log in). Because if we depend on claim that <em>"100% of the apps will always do this extra steps which are not unavoidable required functionality"</em> we setup ourselves to surely fail (i.e. some apps <em>won't</em> do optional steps, and their users will never see block messages).</p>

<section data-footnotes="" class="footnotes"><h2 id="footnote-label" class="sr-only" dir="auto">Footnotes</h2>

<ol dir="auto">

<li id="user-content-fn-1-35559c5614308f5def4f0f8e70f89dfc">

<p dir="auto">If we're not sure we know, perhaps we should not tear down that <a href="https://en.wikipedia.org/wiki/G._K._Chesterton#Chesterton's_fence">Chesterton's fence</a> just yet? <a href="#user-content-fnref-1-35559c5614308f5def4f0f8e70f89dfc" data-footnote-backref="" aria-label="Back to reference 1" class="data-footnote-backref">↩</a></p>

</li>

</ol>

</section>


<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br />Reply to this email directly, <a href="https://github.com/openstreetmap/openstreetmap-website/issues/5490#issuecomment-2588405727">view it on GitHub</a>, or <a href="https://github.com/notifications/unsubscribe-auth/AAK2OLLMBVXQRBZ3RU42HNL2KRAQZAVCNFSM6AAAAABU67LUOOVHI2DSMVQWIX3LMV43OSLTON2WKQ3PNVWWK3TUHMZDKOBYGQYDKNZSG4">unsubscribe</a>.<br />You are receiving this because you are subscribed to this thread.<img src="https://github.com/notifications/beacon/AAK2OLLN7EWYBAPPW3ZA5O32KRAQZA5CNFSM6AAAAABU67LUOOWGG33NNVSW45C7OR4XAZNMJFZXG5LFINXW23LFNZ2KUY3PNVWWK3TUL5UWJTU2I7X56.gif" height="1" width="1" alt="" /><span style="color: transparent; font-size: 0; display: none; visibility: hidden; overflow: hidden; opacity: 0; width: 0; height: 0; max-width: 0; max-height: 0; mso-hide: all">Message ID: <span><openstreetmap/openstreetmap-website/issues/5490/2588405727</span><span>@</span><span>github</span><span>.</span><span>com></span></span></p>

<script type="application/ld+json">[

{

"@context": "http://schema.org",

"@type": "EmailMessage",

"potentialAction": {

"@type": "ViewAction",

"target": "https://github.com/openstreetmap/openstreetmap-website/issues/5490#issuecomment-2588405727",

"url": "https://github.com/openstreetmap/openstreetmap-website/issues/5490#issuecomment-2588405727",

"name": "View Issue"

},

"description": "View this Issue on GitHub",

"publisher": {

"@type": "Organization",

"name": "GitHub",

"url": "https://github.com"

}

}

]</script>