A discussão Moderators should not see emails in SSO section - #13 by techAPJ foi revertida? Parece que os moderadores conseguem ver novamente o payload (que contém o e-mail).
Não tenho certeza, @techAPJ, você pode dar uma olhada quando voltar?
Não consigo reproduzir isso na versão mais recente do Discourse.
Observe que os moderadores verão o payload do SSO, mas esse payload não conterá external_email.
É possível restringir a visibilidade de toda a seção SSO para moderadores?
Acabei de atualizar para a beta 3 e executei um teste. A conta tinha apenas a função de moderador, e o último payload incluía o e-mail mesmo com a opção “moderadores podem ver e-mails” desativada.
email=
external_id=
name=
nonce=
username=
Notei que você mencionou external_email, mas no nosso payload é “email”, não “external_email”. Talvez seja por isso? Precisamos corrigir isso do nosso lado?
Para complementar, acredito que usei este post ao criar nosso processo de SSO: Discourse SSO and API Helper for PHP. Ele usa “email” como um dos parâmetros, e não “external_email”.
O que acham do acima? ^^
Você está falando da página /admin/users/{id}/{username} ou de outro lugar?
Não, quando o registro SSO é criado, o external_email é salvo conforme:
Em referência a:
email=
external_id=
name=
nonce=
username=
Onde você está vendo esse payload no Discourse? Como você pode ver acima, o email é salvo como external_email, o name é salvo como external_name, etc.
Aha, vejo que o payload está visível para moderadores. Ocultei o payload do SSO para moderadores através de:
Também estamos discutindo se o payload deve ficar oculto atrás de um clique de botão para administradores (como fazemos para e-mails).
Obrigado pelo excelente relatório @anon60302432 e pela persistência nos acompanhamentos. 