为什么Spring OAuth2授权端点受到保护,只有经过身份验证的用户才能访问,如"配置端点URL" here?
根据我对OAuth2授权代码授权的理解,对授权端点的调用应返回一个对话框,用户输入其凭据以进行身份验证或我是错误的?经过身份验证的用户可以稍后从令牌端点检索访问令牌(根据上述说明,该令牌不受保护)。
答案 0 :(得分:3)
授权端点通常是一个对话框,用户授权请求系统代表他向目标系统执行请求。
在此之前,他需要在目标系统中进行身份验证,这意味着必须保护授权端点。
由于它是安全的,用户将自动被重定向到登录页面,成功登录后,他将被转发到他可以接受授权请求的实际授权终端。
完成授权后,用户将被重定向回请求系统,然后系统将执行对令牌的反向信道请求。此反向通道请求包括代码参数(在最终重定向中提供),验证令牌请求确实代表用户。