最近搭了一个lobe-chat服务器版，使用logto管理用户，供几个朋友一起使用，为了方便，没有关闭注册。然而，发现有人疯狂白嫖，想赶紧关了注册干掉白嫖怪。令人惊奇的是，lobe-chat在第一次注册、登陆之后似乎压根儿就没有鉴权了，logto后台能看到每个用户的交互历史有且仅有第一次使用。也就是说，一旦某个用户成功登陆lobe-chat，不论用户状态都可以永久使用。 
发现这个问题已经被开了很多issue，但似乎并没有引起足够的重视。