嘿，这个问题问到点子上了——把Access Token暴露在浏览器地址栏里确实有不小的安全隐患，比如会被存在浏览器历史、服务器日志里，还可能被恶意脚本捕获。好在Spring OAuth2完全支持一套更安全的方案，同时还能保留重定向的交互逻辑，核心就是把原来的隐式授权流程（Implicit Flow）换成授权码授权流程（Authorization Code Flow），再加上PKCE增强安全性。

下面一步步给你拆解怎么实现：

1. 调整认证服务器的客户端配置 #

首先要把你的浏览器客户端的授权类型从implicit改成authorization_code，同时配置客户端密钥（授权码流程需要客户端和认证服务器做双向认证）。如果用的是Spring Security OAuth2 Authorization Server，可以这么配置：

@Bean
public RegisteredClientRepository registeredClientRepository() {
    RegisteredClient browserClient = RegisteredClient.withId(UUID.randomUUID().toString())
            .clientId("browser-app-client")
            // 用BCrypt加密客户端密钥，生产环境别明文存！
            .clientSecret("{bcrypt}$2a$10$Z8Hx...")
            // 客户端认证方式，这里用Basic Auth
            .clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_BASIC)
            // 核心：换成授权码授权类型
            .authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE)
            // 配置你的前端回调地址
            .redirectUri("http://your-frontend.com/auth/callback")
            .scope("user:read")
            .scope("user:write")
            // 开启PKCE，针对浏览器这种无法安全存密钥的公共客户端
            .clientSettings(ClientSettings.builder().requireProofKey(true).build())
            .build();
    return new InMemoryRegisteredClientRepository(browserClient);
}

2. 前端请求调整：从拿Token变成拿授权码 #

原来你可能是直接请求/oauth2/authorize并带上response_type=token，现在要改成response_type=code。用户完成授权后，认证服务器会重定向到你的回调地址，此时地址栏里带的是一次性的授权码（code），而不是敏感的Access Token。

示例请求URL：

GET /oauth2/authorize?client_id=browser-app-client&response_type=code&redirect_uri=http://your-frontend.com/auth/callback&scope=user:read&code_challenge=xxx&code_challenge_method=S256

这里的code_challenge和code_challenge_method是PKCE要求的，前端需要先生成随机的code_verifier，再用SHA-256哈希生成code_challenge，防止授权码被拦截盗用。

3. 后端用授权码换取Access Token #

前端拿到授权码后，不能直接用它访问资源服务器，而是要把这个code发送到你自己的后端服务（比如前端的API网关或者后端接口），再由后端去调用认证服务器的/oauth2/token端点，用code、客户端ID、客户端密钥来换取真正的Access Token和Refresh Token。

这个交换过程是在后端完成的，完全不会暴露给浏览器：

@Autowired
private OAuth2AuthorizedClientManager authorizedClientManager;

public OAuth2AccessToken exchangeCodeForToken(String code) {
    // 构建授权码请求
    OAuth2AuthorizationCodeGrantRequest grantRequest = new OAuth2AuthorizationCodeGrantRequest(
            ClientRegistrationId.of("browser-app-client"),
            new OAuth2AuthorizationCode(code),
            new URI("http://your-frontend.com/auth/callback")
    );
    // 调用认证服务器换取Token
    OAuth2AuthorizedClient authorizedClient = authorizedClientManager.authorize(grantRequest);
    return authorizedClient.getAccessToken();
}

4. 额外的安全优化 #

• 如果需要让前端使用Access Token，别存在localStorage/sessionStorage里（容易被XSS攻击），而是存在HttpOnly、Secure、SameSite=Strict的Cookie中，这样浏览器脚本无法读取它。
• 配置短有效期的Access Token和长有效期的Refresh Token，后端用Refresh Token去刷新Access Token，减少Token暴露的风险。

为什么这个方案更安全？因为授权码是一次性的、有效期极短，就算被拦截也没用；而Access Token只在后端和认证服务器之间传递，浏览器完全接触不到敏感的Token，完美解决了原来地址栏暴露Token的问题。而且现在OAuth 2.1已经废弃了隐式授权流程，授权码+PKCE是浏览器客户端的标准安全方案。

内容的提问来源于stack exchange，提问作者FourtyTwo