Типичный сценарий при использовании провайдера аутентификации oAuth2 для единого входа (SSO) заключается в установке относительно короткого (8–12 часов) тайм-аута истечения сессии, а затем в фоновой аутентификации пользователя, если его сессия oAuth2 всё ещё активна. В моём случае я использую Auth0; вот их документация по этой функции, основанная на протоколе OpenID: Configure Silent Authentication - Auth0 Docs.
Недавно я изменил тайм-аут сессии на своём экземпляре Discourse, ожидая, что пользователь будет автоматически аутентифицирован, если у него всё ещё активна сессия Auth0. Однако оказалось, что это приводит к появлению у конечного пользователя запроса на вход, даже если сессия Auth0 остаётся активной. Это выглядит как упущение в реализации плагина oAuth2 в Discourse.