「エンドポイントURLの設定」で説明したように、Spring OAuth2認証エンドポイントが保護され、認証されたユーザーのみがアクセスできるのはなぜですか?here?なぜSpring OAuth2認証エンドポイントは保護されていますか?
OAuth2認証コードの認可を受けて、認証エンドポイントを呼び出すとダイアログボックスが表示され、ユーザーは認証のために認証情報を入力するか間違っていますか?認証されたユーザーは、後でトークンエンドポイント(上記の説明に従って保護されていない)からアクセストークンを取得できます。
通常、承認エンドポイントは、ユーザが、の要求システムがターゲットシステムに代わって要求を実行することを許可するダイアログです。
これが発生する前に、がターゲットシステムにと認証されている必要があります。つまり、認証エンドポイントを保護する必要があります。
セキュリティが確保されているため、ユーザーは自動的にログインページにリダイレクトされ、ログインに成功すると、承認要求を受け入れることができる実際の認証エンドポイントに転送されます。
承認が完了すると、ユーザーは要求元のシステムにリダイレクトされ、トークンのバックチャネル要求が実行されます。このバックチャネル要求には、コードパラメータ(最終リダイレクトで提供される)が含まれ、トークン要求が実際にユーザーに代わって行われていることが検証されます。