SkiaBr23
commented
8 years ago @tallysmartins,
Obrigado pela sugestão. Já alteramos o funcionamento da exclusão de postagens para aceitar apenas as requisições feitas com o token do autor da postagem. Caso contrário, será retornado erro 403 (Acesso Negado).
Atenciosamente,
Equipe do Desafio de Aplicativos Cívicos.
Com o meu token de usuário eu consigo apagar qualquer postagem. Isso deveria ser restrito ao dono da postagem ou do app de destino da postagem.