Salut @balazsorban44, merci pour le rappel. J’ai fait une première passe de revue de la PR. Si l’auteur n’a pas le temps de travailler sur ces points, alors c’est probablement quelque chose que nous pouvons prendre en charge. Je suis d’accord, le support PKCE serait bien.
Cependant, il est bon de noter : je ne pense pas que Discourse soit vulnérable aux attaques « d’interception de code d’autorisation » que PKCE protège. L’authentification Discourse se fait toujours dans le navigateur via https, et n’utilise pas de schémas d’URL personnalisés au niveau du système d’exploitation qui peuvent être interceptés par d’autres applications.
Mais bien sûr, il n’y a aucun mal à ajouter cette couche de sécurité supplémentaire 