¿Se revertió Moderators should not see emails in SSO section - #13 by techAPJ? Parece que los moderadores pueden ver nuevamente la carga útil (que contiene el correo electrónico).
No estoy seguro, @techAPJ, ¿puedes echar un vistazo cuando vuelvas?
No puedo reproducir esto en la última versión de Discourse.
Ten en cuenta que los moderadores verán el payload de SSO, pero ese payload no contendrá external_email.
¿Es posible restringir la visibilidad de toda la sección de SSO para los moderadores?
Acabo de actualizar a la beta 3 y ejecuté una prueba. La cuenta solo tenía rol de moderador, pero el último payload incluía el correo electrónico, incluso con la opción «los moderadores pueden ver correos electrónicos» desactivada.
email=
external_id=
name=
nonce=
username=
Noté que mencionaste external_email, pero en nuestro payload aparece «email», no «external_email». ¿Quizás sea por eso? ¿Es algo que debamos corregir de nuestro lado?
Para complementar, creo que utilicé este post al crear nuestro proceso de SSO: Discourse SSO and API Helper for PHP. Utiliza “email” como uno de los parámetros, no “external_email”.
¿Qué opinas de lo anterior? ^^
¿Te refieres a la página /admin/users/{id}/{username} o a otro lugar?
No, cuando se crea el registro de SSO, el external_email se guarda según:
En referencia a:
email=
external_id=
name=
nonce=
username=
¿Dónde estás viendo esta carga útil en Discourse? Como puedes ver arriba, el email se guarda como external_email, el nombre como external_name, etc.
¡Ah, veo que el payload es visible para los moderadores. He ocultado el payload de SSO para los moderadores mediante:
También estamos debatiendo si el payload debería estar oculto tras un clic en un botón para los administradores (como hacemos con los correos electrónicos).
Gracias por el excelente informe @anon60302432 y por el seguimiento constante. 