你好 @balazsorban44,感谢你对此事的提醒。我已经对 PR 进行了初步审查。如果作者没有时间处理这些事情,那么很可能是我们可以接手的事情。我同意支持 PKCE 会很好。
但是,值得注意的是:我认为 Discourse 不容易受到 PKCE 保护的“授权码拦截”攻击。Discourse 身份验证始终在浏览器中通过 https 进行,并且不使用可能被其他应用程序拦截的操作系统级自定义 URL 方案。
当然,增加额外的安全层没有任何坏处 
3 个赞