Ein typisches Paradigma bei der Verwendung eines oAuth2-Authentifizierungsanbieters für SSO ist, ein relativ kurzes (8-12 Stunden) Sitzungsablauf-Timeout festzulegen und den Benutzer dann stillschweigend zu authentifizieren, wenn seine oAuth2-Sitzung noch aktiv ist. In meinem Fall verwende ich Auth0 und hier ist deren Dokumentation zu dieser Funktion, die auf dem OpenId-Protokoll basiert: Configure Silent Authentication.
Ich habe kürzlich das Sitzungs-Timeout auf meiner Discourse-Instanz geändert, in der Erwartung, dass der Benutzer stillschweigend authentifiziert wird, wenn er noch eine aktive Auth0-Sitzung hat, aber es stellt sich heraus, dass dies dazu führt, dass der Endbenutzer eine Anmeldeaufforderung erhält, obwohl er noch eine aktive Auth0-Sitzung hat. Dies scheint ein Versäumnis in der Implementierung des oAuth2-Plugins von Discourse zu sein.