소스코드 까지 확인하진 못했지만 맞을 거라 생각 합니다.

설명을 드리자면 ...

제가 스팀커넥트에서 계정을 만들어 봤습니다.

@wonsama.quiz 해당 계정의 정보를 steemd.com 에서 보면 steemconnect 권한이 3개 설정 된 것을 볼 수 있습니다.

이후 steemconnect를 하면 @wonsama.quiz에게 권한을 위임하지만, 스팀커넥트를 통한 계정 생성시 해당 계정의 개인키정보를 알려주지 않기 때문에 계정을 생성한 @wonsama 저 본인은 암호를 알 방법은 없고 이후 모든 권한은 steemconnect에서 처리 합니다.

스팀커넥트에서 제공하는 권한은 posting 입니다.

active 권한은 (송금, 스파임대) 등은 hot link를 통해 active key를 사용자로부터 별도로 입력받아 1회성으로 사용 합니다.

posting 권한은 세부적으로 나눠 최초 스팀커넥트 호출 시 comment, vote, options 등등 으로 배열형태로 입력 받아 해당 하위 권한을 스팀커넥트에서 처리합니다.

여기서 맹점? 이 스팀커넥트는 해당 정보를 get 빙식으로 받아 처리하므로 사용자가 주소정보를 약간 변경하면 해당 권한이 변경 되겠죠... 대신 이렇게 되면 권한이 축소된 경우 해딩 dapp에서 오류를 발생하게 되고여

참고로 스팀커넥트 로그인 이후 해당 토큰은 일빈적으로 localstorage에 보관이 되며 그때문에 로그인 장소가 다르면 또 로그인 하라 합니다.

하지만 지난번 유토피아 사태처럼 서버에 토큰을 보관한다면 해킹 시 대박 뒤통수 맞을 수 있겠죠...

여기까지가 제가 알고 있는 내용이네요 100% 보장은 아니지민 맞을 거에요..