Также стоит отметить, что «неявный поток» (Implicit Flow) OIDC увеличивает поверхность атак CSRF и риск компрометации токенов: Implicit flow vs. Authorization code flow: Why implicit flow is dead? · Logto blog
Я считаю, что в некоторых ситуациях он всё ещё может иметь смысл. Однако, похоже, что поток кода авторизации (по умолчанию в Discourse) с PKCE (опционально в Discourse) является наиболее рекомендуемым способом использования OIDC.
Поэтому, возможно, стоит пересмотреть следующее утверждение:
Действительно ли переход на неявный поток OIDC и, следовательно, передача всей пользовательской информации через клиент представляет собой улучшение безопасности? 