Tinyauth में सिंगलटन सर्विस इंस्टेंस पर साझा किए गए परिवर्तनीय स्टेट के माध्यम से OAuth अकाउंट भ्रम है

Tinyauth एक प्रमाणीकरण और प्राधिकरण सर्वर है। संस्करण 5.0.5 से पहले, सभी तीन OAuth सर्विस इम्प्लीमेंटेशन (GenericOAuthService, GithubOAuthService, GoogleOAuthService) PKCE वेरिफायर और एक्सेस टोकन को सभी समवर्ती अनुरोधों में साझा किए गए सिंगलटन इंस्टेंस पर परिवर्तनीय स्ट्रक्ट फ़ील्ड के रूप में स्टोर करते हैं। जब दो उपयोगकर्ता एक ही प्रदाता के लिए समवर्ती रूप से OAuth लॉगिन शुरू करते हैं, तो VerifyCode() और Userinfo() के बीच एक रेस कंडीशन के कारण एक उपयोगकर्ता को दूसरे उपयोगकर्ता की पहचान के साथ एक सेशन प्राप्त होता है। इस समस्या को संस्करण 5.0.5 में ठीक कर दिया गया है।