Wurde Moderators should not see emails in SSO section - #13 by techAPJ zurückgenommen? Es scheint, als könnten Moderatoren den Payload (der die E-Mail enthält) wieder einsehen.
Nicht sicher, @techAPJ, kannst du mal reinschauen, wenn du zurück bist?
Ich kann das mit der neuesten Discourse-Version nicht reproduzieren.
Beachte, dass Moderatoren den SSO-Payload sehen können, dieser Payload jedoch kein external_email enthalten wird.
Ist es möglich, die Sichtbarkeit des gesamten SSO-Bereichs für Moderatoren einzuschränken?
Gerade auf Beta 3 aktualisiert und einen Test durchgeführt. Das Konto hatte nur die Rolle „Moderator“, doch die letzte Nutzlast enthielt die E-Mail-Adresse, obwohl die Option „Moderatoren können E-Mails sehen“ deaktiviert war.
email=
external_id=
name=
nonce=
username=
Ich habe bemerkt, dass du external_email erwähnt hast, aber in unserer Nutzlast steht „email“ und nicht „external_email“. Vielleicht liegt das daran? Ist das etwas, das wir auf unserer Seite korrigieren müssen?
Als Ergänzung: Ich glaube, ich habe diesen Beitrag verwendet, als wir unseren SSO-Prozess erstellt haben: Discourse SSO and API Helper for PHP. Dort wird „email
Was denkst du darüber? ^^
[quote=“anon60302432, Beitrag: 5, Thema: 174822”]
Die letzte Nutzlast enthielt die E-Mail-Adresse, auch wenn die Option „Moderatoren können E-Mails sehen
Nein, wenn der SSO-Eintrag erstellt wird, wird external_email wie folgt gespeichert:
In Bezug auf:
email=
external_id=
name=
nonce=
username=
Wo siehst du diesen Payload in Discourse? Wie du oben sehen kannst, wird die E-Mail als external_email gespeichert, der Name als external_name usw.
Aha, ich sehe, dass der Payload für Moderatoren sichtbar ist. Ich habe den SSO-Payload für Moderatoren über folgenden Link ausgeblendet:
Wir diskutieren zudem, ob der Payload für Administratoren hinter einem Klick auf einen Button versteckt werden sollte (wie wir es bereits bei E-Mails machen).
Vielen Dank für den hervorragenden Bericht @anon60302432 und für das beharrliche Nachfassen. 