Ich verstehe die obige Diskussion auch nicht.
Der Fehler ist sehr einfach: Wenn der Modus nicht ausführlich ist, wird UserAuthTokenLog überhaupt nicht bereinigt, niemals. Das if muss weg.
Die ursprüngliche Implementierung hat nur protokolliert, wenn SiteSetting.verbose_auth_token_logging wahr ist. Das hatte immer noch das Problem, dass nach dem Deaktivieren die zuletzt verbliebenen Protokolle erhalten blieben, aber das ist eine Kleinigkeit.
Aber diese Änderung hat die Protokollierung bedingungslos gemacht („Die Protokolle generate, rotate und suspicious für Authentifizierungstoken werden jetzt immer protokolliert, unabhängig von der Einstellung verbose_auth_token_logging“).
TLDR; Diese Änderung hat vergessen, auch die Entfernung bedingungslos zu machen.