Spring Security возвращается с 403, когда нет токена на предъявителя ⇐ JAVA

[Anonymous]

Я пока не нашел правильного решения своей проблемы. Я использую сервер ресурсов Spring Security Oauth2 для аутентификации своих запросов. И это прекрасно работает. Но при тестировании с другим сценарием обнаружено, что Spring Security возвращает 403 вместо 401, если заголовок Authorization отсутствует или если заголовок Authorization присутствует, но значение отсутствует. не начинается с Носитель .
Spring Boot Starter - 2.6.7
Spring Boot Starter Security - 2.6.7
Spring Security Config & Web - 5.6.3
Spring Security Core - 5.3.19
Spring Boot Starter OAuth2 Resource Server - 2.6.7
Spring OAuth2 Resource Server - 5.6.3

Я имел в виду этот ответ и добавил ниже код для BearerTokenAuthenticationEntryPoint. Разница в том, что я использую URL-адрес самоанализа вместо jwt. Но это не помогает, и эта часть не выполняется. Если токен-носитель присутствует, то выполняется только он.
Что мне здесь не хватает?
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.oauth2.server.resource.web.BearerTokenAuthenticationEntryPoint;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity
public class CustomResourceServerSecurityConfiguration {

@Value("${spring.security.oauth2.resourceserver.opaque-token.introspection-uri}")
String introspectionUri;

@Value("${spring.security.oauth2.resourceserver.opaque-token.client-id}")
String clientId;

@Value("${spring.security.oauth2.resourceserver.opaque-token.client-secret}")
String clientSecret;

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {

http.authorizeHttpRequests((authorize) -> authorize.anyRequest().authenticated())
.oauth2ResourceServer(oauth2 -> oauth2
.opaqueToken(opaque -> opaque.introspectionUri(this.introspectionUri)
.introspectionClientCredentials(this.clientId, this.clientSecret))
.authenticationEntryPoint((request, response, exception) -> {
System.out.println("Authentication failed");
BearerTokenAuthenticationEntryPoint delegate = new BearerTokenAuthenticationEntryPoint();
delegate.commence(request, response, exception);
}))

.exceptionHandling(
(exceptions) -> exceptions.authenticationEntryPoint((request, response, exception) -> {
System.out.println("Authentication is required");
BearerTokenAuthenticationEntryPoint delegate = new BearerTokenAuthenticationEntryPoint();
delegate.commence(request, response, exception);
}));
return http.build();
}
}


Подробнее здесь: https://stackoverflow.com/questions/743 ... arer-token