Vale notar também que o “Fluxo Implícito” do OIDC aumenta a área de superfície para ataques CSRF e exposição de tokens:
Acho que ainda pode fazer sentido para algumas situações. Mas parece que o fluxo de Código de Autorização (padrão do Discourse) com PKCE (opcional no Discourse) é a maneira mais recomendada de usar OIDC.