Algunos proveedores de OAuth (como Google o Facebook) solo otorgan privilegios limitados a las aplicaciones de terceros, y se expresan claramente en la página de autorización. Por ejemplo, dicen que una aplicación puede ver quién eres y tu lista de amigos, pero no publicar en la pared. Y así sucesivamente.
Sin embargo, no todos los proveedores lo hacen. Con algunos de ellos, una vez que un usuario autoriza la aplicación y el proveedor emite el token, aparentemente puede hacer cualquier cosa . El consumidor solo puede guardar el token y hacer lo que quiera como ese usuario - por años (como es el caso con JIRA) a menos que el usuario lo revoque explícitamente.
¿Esto es correcto? ¿Cómo lidiar con esta locura, si una API permite que aplicaciones de terceros lo personifiquen por completo sin límites?
Pieza relevante de documentos de Atlassian (para el ejemplo de JIRA): enlace