Un paradigme typique lors de l’utilisation d’un fournisseur d’authentification oAuth2 pour l’authentification unique (SSO) consiste à définir un délai d’expiration de session relativement court (8 à 12 heures), puis à authentifier silencieusement l’utilisateur si sa session oAuth2 est toujours active. Dans mon cas, j’utilise Auth0 et voici leur documentation sur cette fonctionnalité, qui est basée sur le protocole OpenId : Configure Silent Authentication.
J’ai récemment modifié le délai d’expiration de session sur mon instance Discourse en m’attendant à ce que l’utilisateur soit authentifié silencieusement s’il avait toujours une session Auth0 active, mais il s’avère que cela oblige l’utilisateur final à recevoir une invite de connexion même s’il a toujours une session Auth0 active. Cela semble être un oubli dans l’implémentation du plugin oAuth2 par Discourse.