Vale la pena notare anche che l’“Implicit Flow” OIDC aumenta la superficie di attacco per attacchi CSRF ed esposizione di token:
Penso che possa ancora avere senso per alcune situazioni. Ma sembra che il flusso Authorization Code (predefinito di Discourse) con PKCE (opzionale in Discourse) sia il modo più consigliato per utilizzare OIDC.