См. список прав доступа, которые можно запросить в miniApp в описании метода
VKWebAppGetAuthToken Сейчас это..
friends — доступ к списку друзей пользователя.
photos — доступ к фотографиям.
video — доступ к видео.
stories — доступ к историям.
pages — доступ к вики-страницам.
status — доступ к статусу пользователя.
notes — доступ к заметкам пользователя.
wall — доступ к методам работы со стеной.
docs — доступ к документам.
groups — доступ к сообществам пользователя.
stats — доступ к статистике групп и приложений пользователя, администратором которых он является.
market — доступ к товарам.
И разумеется, эти разрешения привязаны к клиенту. С сервера их не вызвать, т.к. другой IP.
Размещать контент на стене ещё можно отдельным методом
VKWebAppShowWallPostBox — пользователю надо будет подтвердить действие.
Или вот ссылкой поделиться на своей стене:
VKWebAppShare — тоже после диалога подтверждения.
Подписаться на сообщество:
VKWebAppJoinGroup — тоже после подтверждения.
Так что вся недобросовестная борода с автоматическими действиями потихоньку уходит в прошлое.
