Hola @balazsorban44, gracias por el recordatorio. He hecho una primera revisión de la PR. Si el autor no tiene tiempo para trabajar en esas cosas, entonces es probable que podamos asumirlas. Estoy de acuerdo en que tener soporte PKCE sería bueno.
Sin embargo, vale la pena señalar: no creo que Discourse sea vulnerable a los ataques de “intercepción de códigos de autorización” que PKCE protege. La autenticación de Discourse siempre ocurre en el navegador a través de https, y no utiliza esquemas de URL personalizados a nivel del sistema operativo que pueden ser interceptados por otras aplicaciones.
Pero, por supuesto, no hay ningún daño en agregar la capa adicional de seguridad 