Un paradigma típico al usar un proveedor de autenticación oAuth2 para SSO es establecer un tiempo de expiración de sesión corto (8-12 horas) y luego autenticar silenciosamente al usuario si su sesión oAuth2 aún está activa. En mi caso, estoy usando Auth0 y esta es su documentación sobre esta característica, que se basa en el protocolo OpenId: Configure Silent Authentication.
Recientemente cambié el tiempo de expiración de sesión en mi instancia de Discourse con la expectativa de que el usuario sería autenticado silenciosamente si aún tenía una sesión Auth0 activa, pero resulta que esto hace que el usuario final reciba una solicitud de inicio de sesión a pesar de que todavía tiene una sesión Auth0 activa. Esto parece ser un descuido en la implementación del plugin oAuth2 de Discourse.