Sollen die Endpunkte/oauth/token und/oauth/authorize für jeden zugänglich sein?/oauth/** abgesichert oder nicht?
Momentan brauche ich einen Benutzer, um die Authentifizierung fortzusetzen, ich denke, das ist der Login für meine Anwendung und es sollte nicht darauf achten, wer es anruft, bin ich richtig?
Diese Endpunkte authentifizieren tatsächlich Benutzer und Clients in sich. Es hängt ein wenig von Ihrem Anwendungsfall ab, aber im Allgemeinen sollten sie für jeden von überall zugänglich sein.
Wenn Sie in der Lage sein möchten, Benutzer von überall aus zu authentifizieren und Clients im weltweiten Internet zuzulassen (anstatt beispielsweise in Ihrem Unternehmensnetzwerk), sollte der Zugriff auf diese Endpunkte nicht eingeschränkt werden.
Wenn Sie sich nur auf ein Unternehmensnetzwerk beschränken möchten (d. H. Benutzer können sich nur im Unternehmensnetzwerk authentifizieren und Clients können nur Token anfordern, wenn sie mit dem Unternehmensnetzwerk verbunden sind), können Sie diese Endpunkte entsprechend firewalls.