GitHub 上的生态非常好，也就意味着很多软件服务通过 OAuth 用户授权访问用户 GitHub 数据。当使用新的 GitHub App 做登录验证的时候，授权页面显示的是

图片来源是刚看到的吐槽文

想起我在之前的帖子里也遇到用户这样的疑问, 这是我当时的回复

我们使用的是 github app 而不是旧版的 oauth api，其实这两种是一回事，只不过 github app 的提醒文字不一样，使用 oauth 登录的时候也是给了一样权限的 token，"Act on your behalf"的意思是使用个人 token，但是并不代表有权限做除了获取个人信息和邮件之外的任何事情(如果有 github 也会在验证窗口提醒出来)，我和你一样注意这些问题。

如果在网上搜"github act on your behalf"也会看到很多国外服务器类似的担心，是不是登录之后是不是就把账号交给第三方应用了？ 很高兴看到越来越多用户关心隐私问题，但是这一句 Act on your behalf 或许可以换个说法避免一些误解?

你不是要 cloud push 到你的仓库吗，这就是你的要求啊，莫名其妙

github 权限不够细，或者说不能返回虚假权限。有获取邮箱，有只读仓库，有读写仓库，可能包含私有仓库。我觉得最好能从 GitHub 这边禁止应用获取真实邮箱或者屏蔽读写私有仓库，毕竟很多 app 就要这权限不给不给用