스프링 OAuth2 인증 엔드 포인트가 보호되는 이유는 무엇입니까?

Question

"엔드 포인트 URL 구성"에 설명 된대로 스프링 OAuth2 인증 엔드 포인트가 보호되고 인증 된 사용자 만 액세스 할 수있는 이유는 무엇입니까? here?

OAuth2 인증 코드 부여를 이해 한 후 인증 끝점을 호출하면 사용자가 인증되기 위해 자격 증명을 입력하는 대화 상자가 반환됩니다. 그렇지 않으면 잘못 되었습니까? 인증 된 사용자는 나중에 토큰 엔드 포인트 (위의 설명에 따라 보호되지 않음)에서 액세스 토큰을 검색 할 수 있습니다.

Answer 1

일반적으로 권한 엔드 포인트는 사용자 이 요청 시스템이 대상 시스템을 대신하여 요청을 수행 할 수있는 권한을 부여하는 대화 상자입니다.

이 작업을 수행하기 전에 대상 시스템에서 이 인증 된이어야합니다. 즉, 인증 엔드 포인트를 보호해야합니다.

보안 되었기 때문에 사용자는 자동으로 로그인 페이지로 리디렉션되고 로그인에 성공하면 실제 인증 엔드 포인트로 전달되어 인증 요청을 수락 할 수 있습니다.

승인이 완료된 후 사용자는 요청 시스템으로 다시 리디렉션되고 토큰에 대한 백 채널 요청이 수행됩니다. 이 백 채널 요청에는 코드 매개 변수 (최종 리디렉션에서 제공됨)가 포함되어 토큰 요청이 실제로 사용자 대신 수행되었음을 확인합니다.