Non capisco nemmeno io la discussione di cui sopra.
Il bug è molto semplice: se la modalità non è verbosa, non viene eseguita alcuna pulizia di UserAuthTokenLog, mai. L’if deve essere rimosso.
L’implementazione originale registrava solo quando SiteSetting.verbose_auth_token_logging era vero. Il che aveva ancora il problema che dopo averlo disabilitato, i log rimanenti più recenti sarebbero rimasti, ma è una piccola cosa.
Ma questa modifica ha reso la registrazione incondizionata (“I log dei token di autenticazione generate, rotate e suspicious vengono ora sempre registrati indipendentemente dall’impostazione verbose_auth_token_logging”).
TLDR; quella modifica ha dimenticato di rendere incondizionale anche la rimozione.