能否最小化权限？

[wafer-li]

目前请求的 public_repo 权限过于强大和危险。能够获取所有公有仓库的 读写权限。

有没有办法把这个权限缩小到只有 Issue 呢？能否更进一步的将其缩小到仅针对某特定 repo 的 Issue 权限？

相关的 Issue imsun/gitment#77

[booxood]

如果接口支持的话 很好修改。可以增加一个配置来设置 scope。

目前的 oauth 接口还不支持吧？

[zhebinhu]

感觉像是github本身的问题，不支持更细粒度的权限划分

[ainopara]

可否考虑增加「评论只读，回复跳转到对应 GitHub issue」的模式，作为 GitHub 目前不支持细粒度权限的过渡方案？
现在这个权限列表太吓人了。

[bequt]

确实获取权限太高了，都不敢用了。

[booxood]

目前 Github 的权限设计就是这样，具体介绍看这里：https://developer.github.com/apps/building-oauth-apps/scopes-for-oauth-apps/

[zjuturtle]

我有一个比较鸡贼的解决方案。就是直接新注册一个Github账号，并开一个空的项目，使用该项目的issue作为gitalk评论载体。

我的博客本体托管在 github.com/zjuturtle/zjuturtle.github.io下面。但是 gitalk 引用的则是 github.com/AnotherZjuturtle/Gitalk

[elvisw]

我有一个比较鸡贼的解决方案。就是直接新注册一个Github账号，并开一个空的项目，使用该项目的issue作为gitalk评论载体。

我的博客本体托管在 github.com/zjuturtle/zjuturtle.github.io下面。但是 gitalk 引用的则是 github.com/AnotherZjuturtle/Gitalk

这样根本没有意义，因为是网站获取访客的public_repo权限，不是访客获取网站的public_repo权限。你开个小号给网站托管评论，小号依然会获得访客的public_repo权限，这样访客反而会更加担心你用小号获得的权限干坏事。

[WANG-lp]

可否增加一个跳转到issue链接，这样用户可以选择直接到github 对应的issue进行评论，不需要在自己网站授权github 的oauth权限。现在点击左边的 gt-counts 已经可以直接跳转了，但是对用户来说不是特别明显

[eminoda]

刚集成 gitalk 到 hexo，看了上面问题有如下疑问：

1. 对于【访客】，如果 xxx.github.io 站点没有特殊的恶意代码，不去拿 localStorage 中的 GT_ACCESS_TOKEN 是否就算安全了？
2. 对于【博主】，暴露 clientID，clientSecret 是否有安全隐患？

对于问题2，刚看到 #150 (comment) 应该还算安全。