为什么 Spring OAuth2 授权端点受到保护?
Why is the Spring OAuth2 authorization endpoint protected?
为什么 Spring OAuth2 授权端点受到保护并且只有经过身份验证的用户才能访问,如 "Configuring the endpoint URLs" here 中所述?
根据我对 OAuth2 授权代码授权的理解,对授权端点的调用应该 return 一个对话框,用户在其中输入他的凭据以便进行身份验证,或者我错了吗?经过身份验证的用户稍后可以从令牌端点(根据上面的描述不受保护)检索访问令牌。
授权端点通常是一个对话,用户在其中授权请求系统代表他向目标系统执行请求。
在此之前,他需要在目标系统中进行身份验证,这意味着授权端点必须受到保护。
由于是安全的,用户会自动被重定向到登录页面,登录成功后,他会被转发到实际的授权端点,在那里他可以接受授权请求。
完成授权后,用户将被重定向回请求系统,该系统随后将对令牌执行反向通道请求。此反向通道请求包含代码参数(在最终重定向中提供),验证令牌请求确实代表用户。
为什么 Spring OAuth2 授权端点受到保护并且只有经过身份验证的用户才能访问,如 "Configuring the endpoint URLs" here 中所述?
根据我对 OAuth2 授权代码授权的理解,对授权端点的调用应该 return 一个对话框,用户在其中输入他的凭据以便进行身份验证,或者我错了吗?经过身份验证的用户稍后可以从令牌端点(根据上面的描述不受保护)检索访问令牌。
授权端点通常是一个对话,用户在其中授权请求系统代表他向目标系统执行请求。
在此之前,他需要在目标系统中进行身份验证,这意味着授权端点必须受到保护。
由于是安全的,用户会自动被重定向到登录页面,登录成功后,他会被转发到实际的授权端点,在那里他可以接受授权请求。
完成授权后,用户将被重定向回请求系统,该系统随后将对令牌执行反向通道请求。此反向通道请求包含代码参数(在最终重定向中提供),验证令牌请求确实代表用户。