Si un servicio le permite crear tokens OAuth sin ningún ámbito (permitiendo 5k API solicitudes / hora para recursos públicos), ¿es peligroso compartir estos tokens públicamente?
El problema obvio que veo es que cualquiera podrá usar este token para alcanzar el límite de solicitud del usuario que lo compartió.
¿Hay algún otro problema al compartir dicho token públicamente?
¿Qué sucede si el servicio le permite actualizar los ámbitos de OAuth del mismo token sin regenerar el token?