Latest.json contiene campos admin y trustlevel - cuando no se ha iniciado sesión

Soporte
1

Hola, nuestra instancia de Discourse muestra los campos admin y trustlevel del usuario en el cuerpo de la respuesta de /latest.json (últimos temas) para usuarios no autenticados.

Por ejemplo, un usuario en la lista de /latest.json aparece como:

{
  "users": [
    {
      "id": 32,
      "username": "Beeblebrox",
      "avatar_template": "/user_avatar/my-discourse.org/beeblebrox/{size}/1_1.png",
      "flair_name": null,
      "admin": true,
      "trust_level": 1
    }
  ],
  "primary_groups": [],
  "flair_groups": [],
  "topic_list": []
}

Si un usuario es administrador es información sensible en mi opinión; ¿es posible no mostrar el campo a. admin y b. trust_level en la página de respuesta de /latest.json para 1. usuarios no autenticados y 2. todos los usuarios?

2

Ese es el problema. No se trata como sensible en ningún lugar que yo sepa. Es posible ocultar quiénes son los administradores a los usuarios en un plugin.

1 me gusta
3

¡Gracias por la rápida respuesta! ¿Qué quieres decir exactamente con:

Es posible ocultar a los usuarios que los administradores están en un plugin.

¿Es un plugin un plugin específico?

4

He escrito uno que oculta mi usuario de la lista de administradores. No estoy completamente seguro de que oculte mi usuario de esa carga JSON, pero ¿creo que podría?

Era parte de un plugin más grande, así que no creo que tenga esa parte disponible públicamente. Puedo intentar publicar las partes clave aquí, o puedes contactarme si tienes un presupuesto y quieres que lo haga por ti.

5

No lo es. Incluso los destacamos prominentemente en la página /about :smile:

3 Me gusta
6

Encontré el mío. Parece que elimina al administrador solo de la página /admin:

  require_dependency 'admin_constraint'
  add_to_serializer(:about, :admins) do
    object.admins.reject { |u|
      puts "RECHAZAR: #{u.emails.first} "
      u.emails.first =~ HIDDEN_EMAIL_REGEXP
    }
  end
2 Me gusta
7

No sabía que la página “Acerca de” lista a los moderadores y administradores, así que eso explica por qué no se trata como información sensible. Tengo mi respuesta, ¡gracias a todos por las rápidas respuestas, muy apreciado!

2 Me gusta