/dev/app/newで作成したアプリではミュート関連の操作はできない？

[tamaina]

Summary

ソースを確認しただけで実装して確かめてみたわけではないが、エンドポイントのkindの値が、標準的なアカウント操作関連はaccount-read``account-writeなのに対しミュート関連はaccount/read``account/writeとなっている。
置換するコードは見つけられなかったが、仮にもしないとすれば/dev/app/newから作成したアプリはミュート関連の操作ができない(account/read``account/writeのpermissionは付与されないため)。

これは仕様ですか？

Environment

---

Want to back this issue? Post a bounty on it! We accept bounties via Bountysource.

[syuilo]

ありがとうございます！ミスっぽいです

[tateisu]

'favorite-write' もないっぽいです

[tateisu]

パーミッション関連で問題を見つけた感じなので貼っておきます
https://misskey.xyz/notes/5b7aab7a403cad001f2bf161
https://misskey.xyz/notes/5b7aad63403cad001f2bf1e3

• 既知のパーミッションの一覧をどこかに定義しておくべきです。
• APIのコードで指定したパーミッションの文字列が既知のものかどうか、可能ならビルド時に分かるように工夫するべきです。でないとタイプミスを防止できません。
• アプリ登録時に未知のパーミッションを許可しないようにするべきです。でないと後から新しいパーミッションを作る時に、アプリがこっそり指定していた文字列と競合する可能性が出てきます。

[tateisu]

https://github.com/syuilo/misskey/blob/master/src/server/api/endpoints/following/requests/list.ts
また新種のパーミッションを発見しました。
'following-read' となってますが、まず フォロリク申請を見れるのに適切な権限は 'following-write' であるべきだと思いますがどうでしょうか。

[tateisu]

kind: 'messaging-read'
kind: 'messaging-write',
kind: 'vote-write'

[tateisu]

お気に入り一覧の取得は favorites-read でした。 sの有無…

[tamaina]

v11で直そう

[tamaina]

'following-read' となってますが、まず フォロリク申請を見れるのに適切な権限は 'following-write' であるべきだと思いますがどうでしょうか。

そうでもなくない？

[tateisu]

フォローグラフはAPで公開されている情報なので認証なしでも読めますが、申請中のフォローリクエストはそうではありません。よりプライベートな情報です。

[tamaina]

フォロー申請がプライベートなものであることは同意しますが、かといってフォロー申請を見ることに対するパーミッションをfollowing-writeにするのは分類としておかしいと思います。

フォロー申請の閲覧をfollowrequest-read、フォロー申請の承認/拒否操作をfollowrequest-writeとして分類しなおすべきだと思います。