Il convient également de noter que le « flux implicite » OIDC augmente la surface d’attaque pour les attaques CSRF et l’exposition des jetons :
Je pense qu’il peut encore avoir du sens dans certaines situations. Mais il semble que le flux de code d’autorisation (par défaut dans Discourse) avec PKCE (facultatif dans Discourse) soit la manière la plus recommandée d’utiliser OIDC.