我正在为一个仅限批准用户访问的 Discourse 站点提供服务。在批准新用户注册时,我注意到偶尔会有某个用户的个人资料显示其信任等级为 tl1,尽管他们尚未被批准或与站点进行过任何互动。
在设置中,“默认信任等级”和“默认邀请者信任等级”均设置为零。
有什么建议吗?
@tshenry,我们能复现这个问题吗?
我在测试站点上看到一些奇怪的现象:表面上看,一位已被审核过的用户似乎与某个待审核项关联,但实际上该待审核项适用于一位新用户。我下周会进一步调查,但我怀疑是 @paulrudy 遇到了这个漏洞,查看了一位已获得 TL1 权限的已审核用户。
谢谢,但我有 99% 的把握用户尚未获得批准。
没问题,也感谢您对此进行调查。我理解偶发性问题确实很难排查。目前注册速度有所放缓,所以我尚未再次遇到该问题。
针对您的提问:
-
邀请是允许的——非工作人员的邀请需要审批。默认被邀请者的信任等级为 0。受影响的用户可能是在默认被邀请者信任等级改为 0 之前被邀请的,但这不太可能。很遗憾我无法核实这一点,因为我无法查到哪些用户受到了影响。
-
否
-
否
-
抱歉,没有规律。从今往后我会开始记录该问题出现在哪些用户身上。
-
是的,完全正确。
-
discourse-assign, discourse-calendar, custom trust level, discourse-elections, discourse-knowledge-explorer, discourse-locations, discourse-policy, discourse-quick-messages, discourse-saved-searches, discourse-styleguide, discourse-tooltips, discourse-translator, discourse-user-notes, discourse-voting, docker_manager, styleguide
抱歉我无法提供更多有用的信息。如果发现任何规律,我会及时更新。
@tshenry 我又发现了一个拥有 tl1 权限的未获批用户示例。我无法确定他们是否收到过邀请,也无法确定我何时将默认邀请者的信任级别更改为零。但还有一个奇怪之处:尽管该用户从未获批,其个人资料中却有一张头像。我们并未启用 SSO,那么他们是如何获得头像的呢?
好的,如果你发现了任何可以确定是由未授权用户引发的新情况,并且是在将默认邀请者信任级别更改为零之后,请告诉我。
他们很可能使用了 Gravatar。Discourse 会通过“自动下载 Gravatar”这一站点设置,自动从 Gravatar 服务获取头像。
好的,明白了,关于Gravatars的事。
如果我能获得关于信任等级更清晰的信息,我会再跟进,谢谢。