<div dir="ltr"><div>Hi,<br><br>On Tue, Jan 3, 2023 at 7:58 PM David Cook <<a href="mailto:dcook@prosentient.com.au">dcook@prosentient.com.au</a>> wrote:<br><div>> It seems to me that we should just stop at “Authorization failure”. While it <br></div><div>> might be helpful for a dev to know what the required permissions are,</div><div>>  I think it would also be overly helpful for an attacker to know what <br></div><div>> permissions are required too, no?</div><br></div><div>I don't feel strongly about it, but lean towards including the details for the sake of anybody trying to use the API. After all, the game is already up if the attacker is able to grant additional permissions to the service account.</div><div><br></div><div>This may be a stretch, but another advantage of including the details is to reduce any temptation to assign the superlibrarian permission to a service account "just to get it working".<br></div><div><br></div><div>Regards,</div><div><br></div><div>Galen<br></div><div>--<br>Galen Charlton<br>Implementation and IT Manager<br>Equinox Open Library Initiative<br>gmc@equinoxOLI.org<br><a href="https://www.equinoxOLI.org">https://www.equinoxOLI.org</a><br>phone: 877-OPEN-ILS (673-6457)<br>direct: 770-709-5581</div></div>