SSO のために oAuth2 認証プロバイダーを使用する場合の一般的なパラダイムは、比較的短い (8〜12 時間) セッション有効期限タイムアウトを設定し、oAuth2 セッションがまだアクティブな場合はユーザーをサイレント認証することです。私の場合は Auth0 を使用しており、これは OpenId プロトコルに基づいたこの機能に関するドキュメントです: Configure Silent Authentication.
最近、Discourse インスタンスのセッションタイムアウトを変更しましたが、ユーザーがアクティブな Auth0 セッションをまだ持っている場合はサイレント認証されることを期待していました。しかし、実際には、アクティブな Auth0 セッションをまだ持っているにもかかわらず、エンドユーザーにログインプロンプトが表示されることが判明しました。これは、Discourse の oAuth2 プラグインの実装における見落としのように思われます。