我使用带有Spring Security OAuth2的Spring-Boot开发了一个简单的Web应用程序，我希望只允许从客户端应用程序访问所有资源。有些资源需要客户端进行身份验证，而有些则不需要。

我有以下配置：

@Configuration
@EnableResourceServer
protected static class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.requestMatchers()
            .and()
            .authorizeRequests()
            .antMatchers("/account/**").permitAll()
            .antMatchers("/user/**").access("#oauth2.hasScope('read')")
            .antMatchers("/transaction/**").access("#oauth2.hasScope('read')");
    }

}

@Configuration
@EnableAuthorizationServer
protected static class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
        endpoints.authenticationManager(authenticationManager);
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
            .withClient("my-trusted-client")
            .authorizedGrantTypes("authorization_code", "password", "refresh_token")
            .authorities("ROLE_CLIENT", "ROLE_TRUSTED_CLIENT")
            .scopes("read", "write", "trust")
            .accessTokenValiditySeconds(3600);
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        security.allowFormAuthenticationForClients();
    }

}

我试图做的是对于资源“/Account/**”，它不应该要求客户端进行身份验证，但仍然只允许通过客户端访问。

对于其他资源，它只允许通过客户端访问，并且还必须经过身份验证。

不幸的是，在上面的当前设置中，我仍然能够从客户端外部访问“/Account/**”。

感谢任何帮助。

更新1

我忘记包含的附加信息，我使用的是grant_type密码。

所以我想要的是这个。例如：

/account-只能通过client_id/client_secret访问。不需要用户进行身份验证，这意味着用户不需要有访问令牌。

/user-只能通过client_id/client_secret访问。并且要求用户进行身份验证，这意味着用户必须拥有访问令牌。

我所指的客户端是具有client_id和client_secret的移动应用程序。

如果我还不清楚，请告诉我。