最近报告了一个问题 #808，该问题允许用户以客户端身份进行身份验证，并通过 client_credentials 或 password grant flow 获取访问令牌。

当客户端和用户具有相同的标识符（clientId 和 username）时，会出现这种独特的场景。 在 client_credentials 或 password grant flow 期间，用户的凭据用于客户端身份验证，并且成功获得具有客户端权限的访问令牌。

修复

此错误已在 1ed986a 中修复，并在 2.0.11.RELEASE 中发布。

如果您使用基于 Java 的配置，请更新到 2.0.11.RELEASE。

但是，如果您使用基于 XML 的配置，请采取以下操作

• 更新到 2.0.11.RELEASE

• 查看此 JUnit 测试及其关联的 XML 配置，以确保 客户端身份验证 的 AuthenticationManager 和 用户身份验证 的 AuthenticationManager 在您的配置中设置相同。

• 作为预防措施，请确保您的 XML 配置 不 与此 JUnit 测试和关联的 XML 配置中的设置相同，因为它演示了原始问题。

致谢

感谢您报告此问题 Michael Pridemore 和 Ben Kiefer。