Moderators should not see emails in SSO section - #13 by techAPJ 中的更改被回滚了吗?看起来版主似乎又能看到包含电子邮件的负载了。
不确定,@techAPJ 你回来后可以帮忙看一下吗?
我在最新版本的 Discourse 上无法复现此问题。
请注意,版主可以看到 SSO 负载,但该负载不会包含 external_email。
是否可以为版主限制整个 SSO 部分的可见性?
刚刚更新到 beta 3 并进行了测试。账户仅拥有 moderator 权限,即使禁用了“版主可查看邮箱”选项,最后的 payload 中仍包含了邮箱字段。
email=
external_id=
name=
nonce=
username=
我注意到您提到了 external_email,但在我们的 payload 中是"email"而不是"external_email",这是否就是原因?这是否需要我们这边进行修复?
补充一点,我认为在创建我们的 SSO 流程时使用了此帖子:Discourse SSO and API Helper for PHP
对以上内容有什么看法?^^
您指的是 /admin/users/{id}/{username} 页面,还是其他位置?
不,当 SSO 记录创建时,external_email 会按照以下方式保存:
参考如下:
email=
external_id=
name=
nonce=
username=
你在 Discourse 的哪里看到这个负载的?正如上面所示,email 会被保存为 external_email,name 会被保存为 external_name,等等。
啊,我明白了,SSO 负载对版主是可见的。我已通过以下方式将 SSO 负载对版主隐藏:
我们也在讨论是否应像处理电子邮件那样,将负载置于管理员的点击按钮之后。
感谢 @anon60302432 提供的出色报告以及持续的跟进。