敏感信息泄露：OAuth2 客户端密钥在管理员设置中暴露（未屏蔽）

supermathie · 2025 年7 月 8 日 13:40

我们不认为信息 向管理员 泄露是个问题，但是的，它应该被标记为敏感，以避免不必要地显示，就像 google_oauth2_client_secret 一样。

这是一个简单的修复：

这是一个便利性与保密性之间的权衡；不允许在 UI 中取消隐藏密钥只会提供一种无法访问的假象，管理员还有其他方法可以轻松地从数据库中读取它。

但是，任何密钥（实际上是任何站点设置）都可以通过环境变量指定，这样它们就不会显示在管理员 UI 中。

（对吧 @pmusaraj？）

话题		回复	浏览量
Disclosure of S3 secret access key Feature	23	5676	2018 年11 月 27 日
Secret Text Plugin Dev	7	1213	2018 年8 月 25 日
Latest.json contains admin and trustlevel field - when not logged in Support	6	365	2022 年11 月 18 日
Settings and plugins installed exposed on Login Page Support	7	575	2019 年11 月 27 日
Could not find Google OAuth client ID in discourse admin setting Support	9	85	2025 年2 月 23 日