根据http://projects.spring.io/spring-security-oauth/docs/oauth2.html:
N.B。授权端点/ oauth / authorize(或其映射 应该使用Spring Security保护它 只有经过身份验证的用户才能访问。
为什么?如果一个需要授权许可来交换授权代码的端点应该得到保护,这听起来并不合适。它就像登录页面的登录页面,特别是当授权授权将通过资源所有者密码凭证时。
答案 0 :(得分:2)
oAuth2授权分两步进行:
第2步发生在 / oauth / authorize 上,第1步发生在应用程序的其他地方(很可能是通过Spring Security支持的表单登录)。
如果您不保护 / oauth / authorize ,您最终会在未对用户进行身份验证的情况下授予授权(或者您不会因为没有经过身份验证的会话而感到遗憾,您可能根本不知道用户是谁。