Боюсь, я принимаю здесь очень жесткое решение: must_approve_users == ОЧЕНЬ ЖЕСТКОЕ определение того, что должно быть дано явное одобрение.
Проблема с неявным одобрением (которое я изначально одобрил) в том, что оно полно пограничных случаев. Пограничные случаи порождают проблемы с безопасностью и уязвимости в системе. Кроме того, объяснение пограничных случаев, касающихся неявного одобрения, слишком сложно, и нам не нужны такие головные боли.
Если вы выберете must_approve_users, мы примем абсолютно строгое определение и потребуем, чтобы вы явно нажимали кнопку «Одобрить» для каждой учетной записи, независимо от того, было ли приглашение или нет.