Мы не считаем утечку информации администраторам проблемой, но да, такие данные должны помечаться как конфиденциальные, чтобы они не отображались без необходимости, так же как, например, google_oauth2_client_secret.
Это простое исправление:
https://github.com/discourse/discourse-oauth2-basic/pull/136
Здесь есть компромисс между секретностью и удобством: запрет на раскрытие секретов в интерфейсе создаст лишь иллюзию недоступности, поскольку у администратора есть и другие способы легко прочитать их из базы данных.
Тем не менее, любые секреты (по сути, любые настройки сайта) можно указать через переменные окружения; в этом случае они не будут отображаться в интерфейсе администратора.
(правильно, @pmusaraj?)