Tampoco entiendo la discusión anterior.
El error es muy simple: si el modo no es detallado, entonces no se realiza ninguna limpieza de UserAuthTokenLog, nunca. El if debe desaparecer.
La implementación original solo registraba cuando SiteSetting.verbose_auth_token_logging era verdadero. Lo cual todavía tenía el problema de que después de deshabilitarlo, los registros restantes más recientes permanecerían, pero eso es algo pequeño.
Pero este cambio hizo que el registro fuera incondicional (“Los registros de tokens de autenticación generate, rotate y suspicious ahora se registran siempre independientemente de la configuración verbose_auth_token_logging”).
En resumen; ese cambio olvidó hacer que la eliminación también fuera incondicional.