当使用 oAuth2 身份验证提供程序进行 SSO 时,一种典型的模式是设置一个较短(8-12 小时)的会话过期超时,然后如果用户的 oAuth2 会话仍然有效,则静默地对用户进行身份验证。在我的例子中,我使用的是 Auth0,这是他们关于此功能的文档,该功能基于 OpenId 协议:https://auth0.com/docs/authenticate/login/configure-silent-authentication。
我最近更改了我 Discourse 实例上的会话超时时间,期望如果用户仍然有活动的 Auth0 会话,他们将被静默地进行身份验证,但事实证明,这会导致最终用户收到登录提示,即使他们仍然有活动的 Auth0 会话。这似乎是 Discourse 在 oAuth2 插件实现中的一个疏忽。