Почему защитная точка авторизации Spring OAuth2 защищена?

Question

Почему конечная точка авторизации Spring OAuth2 защищена и доступна только для аутентифицированных пользователей, как описано в разделе «Настройка URL-адресов конечных точек» here?

После моего понимания предоставления авторизационного кода OAuth2 вызов конечной точки авторизации должен вернуть диалог, в котором пользователь вводит свои учетные данные для аутентификации или я ошибаюсь? Аутентифицированный пользователь может позже извлечь токен доступа из конечной точки маркера (который не защищен в соответствии с описанием выше).

Answer 1

Конечная точка авторизации, как правило, представляет собой диалог, в котором пользователь разрешает запрашивающей системе выполнять запросы от его имени в целевой системе.

Прежде чем это может произойти, он должен быть аутентифицирован в целевой системе, что означает, что конечная точка авторизации должна быть защищена.

Поскольку он защищен, пользователь будет автоматически перенаправлен на страницу входа в систему, и после успешного входа в систему он будет перенаправлен на фактическую конечную точку авторизации, где он сможет принять запрос авторизации.

После завершения авторизации пользователь будет перенаправлен обратно в запрашивающую систему, которая затем выполнит запрос обратного канала для токена. Этот запрос обратного канала включает в себя параметр кода (предоставляется в конечном переадресации), проверяя, что запрос токена действительно выполняется от имени пользователя.