Olá @balazsorban44, obrigado pelo lembrete. Fiz uma primeira revisão do PR. Se o autor não tiver tempo para trabalhar nessas coisas, é provável que possamos assumir. Concordo que ter suporte a PKCE seria bom.
No entanto, vale notar: não acho que o Discourse seja vulnerável aos ataques de “interceptação de código de autorização” contra os quais o PKCE protege. A autenticação do Discourse sempre acontece no navegador via https e não usa esquemas de URL personalizados de nível de sistema operacional que podem ser interceptados por outros aplicativos.
Mas, claro, não há problema em adicionar a camada extra de segurança 