También vale la pena señalar que el “Flujo Implícito” de OIDC aumenta la superficie de ataque para ataques CSRF y la exposición de tokens:
Creo que todavía puede tener sentido para algunas situaciones. Pero parece que el flujo de Código de Autorización (el predeterminado de Discourse) con PKCE (opcional en Discourse) es la forma más recomendada de usar OIDC.