我们创建了一个新的 Discourse 实例。该产品目前处于测试阶段,因此我们设置了多个私密分类和一个公开分类。
如何确保匿名用户绝对无法通过 API 或界面列出所有用户?
我找到的唯一相关设置是:
- 启用用户目录
- 对公众隐藏用户资料
我想 1000% 确定不会以任何方式暴露用户列表。请提供建议。
这取决于您具体指的“暴露”用户是什么意思。任何在公开类别中发帖的用户都将是公开的,这取决于您的用户中有多少比例会在该特定类别中进行互动。
我的意思是让匿名用户能够查看用户列表。例如,通过 API 列出所有用户,在“顶级用户”中查看列表,通过搜索功能查找,或通过任何我尚未知晓的其他方式。
除非您的站点不是公开的(即启用了“需要登录”),否则用户仍可通过 API 列出。
如果我已经禁用了用户目录,这是否是预期的行为?
另外,当你提到列表仍会通过 API 暴露时,你是指对所有匿名用户都开放吗?
据我所知,该设置的目标仅是移除用户排行榜。
是的。
能否将其作为功能请求提出?即在保留部分公开分类的同时,使列出所有用户变得不可能。
这是因为,如果公共主题列表在任何情况下都以不可预测的数量暴露了相关数据,那么隐藏这些数据就被认为徒劳无益吗?
在我们的具体案例中,有一群人正在从事某项工作,但只有该小组的少数成员对公开类别做出了贡献。
我不认为这是有人特意计划的,Discourse 主要有两种基本模式:公开和私有。隐藏排行榜的设置正如字面意思所示,它只是隐藏排行榜。为什么要额外做其他事情呢?
欢迎撰写一份您所需功能的具体说明。但鉴于这是一项非常枯燥的工作,且属于极其小众的使用场景,如果您希望尽快看到该功能实现,将其发布到 Marketplace 可能会有更大的机会。
因此,目前看来,如果您重视核心小组的完全隐私,启动两个实例似乎是明智的。这很合理。
话虽如此,无论如何,这并不会暴露电子邮件地址。