Un paradigma tipico quando si utilizza un provider di autenticazione oAuth2 per SSO è quello di impostare un timeout di scadenza della sessione piuttosto breve (8-12 ore) e quindi autenticare silenziosamente l’utente se la sua sessione oAuth2 è ancora attiva. Nel mio caso sto usando Auth0 e questa è la loro documentazione su questa funzionalità, basata sul protocollo OpenId: Configure Silent Authentication.
Recentemente ho modificato il timeout della sessione sulla mia istanza Discourse con l’aspettativa che l’utente venisse autenticato silenziosamente se avesse ancora una sessione Auth0 attiva, ma si scopre che ciò causa all’utente finale la ricezione di una richiesta di accesso anche se ha ancora una sessione Auth0 attiva. Questo sembra una svista nell’implementazione del plugin oAuth2 da parte di Discourse.