Je ne comprends pas non plus la discussion ci-dessus.
Le bug est très simple : si le mode n’est pas verbeux, alors aucun nettoyage de UserAuthTokenLog n’est effectué, jamais. Le if doit disparaître.
L’implémentation d’origine ne journalisait que lorsque SiteSetting.verbose_auth_token_logging était vrai. Ce qui avait toujours le problème qu’après l’avoir désactivé, les journaux restants les plus récents resteraient, mais c’est une petite chose.
Mais ce changement a rendu la journalisation inconditionnelle (« Les journaux de jetons d’authentification generate, rotate et suspicious sont maintenant toujours enregistrés indépendamment du paramètre verbose_auth_token_logging »).
TLDR ; Ce changement a oublié de rendre la suppression inconditionnelle également.