web api2 获取的 token 始终相同,且无法管理


#1

POST /api2/auth-token 获取 token,按照官方文档操作
服务端启用了2FA

能够获取token,但每次获取的token都是相同的,不会变
这个token可以正常访问服务
但是这个token不会出现在“已连接的设备”页面的列表中,自然,也就无法删除它使他失效

试想,这样一个特殊的、隐形的、万能的token一旦泄露,会对用户造成何等严重的安全隐患
诚然,重新设置密码应该也许能够使这个旧的特殊token无效化(仅猜测),但用户不一定能够记得这件事,再加之这个token不在已连接设备中列出,用户很可能遗忘、忽略

另一方面,seafile的客户端,包括seadrive,却能够获取到每次登录都全新、不一样的token,而且每次新的token都会显示在已连接设备的列表中,而且能够通过断开设备的方式删除、无效化对应的token,这显然是正确的、安全的做法。
但是根据官方文档操作web API却是另一番结果。

肯定有哪里不对劲!