问Spring OAuth2客户端，CSRF保护

EN

我正在使用Spring构建web应用程序。我有多个Spring客户端应用程序和一个OAuth2授权和资源服务器。最终用户首先在客户端应用程序中进行身份验证，然后客户端应用程序从资源服务器请求一些资源(在从授权服务器获得访问令牌之后)，处理数据并将其返回给用户。用户也可以更改资源服务器上的数据，但只能通过客户端应用程序。为了获取资源，仅使用客户端凭据，在本例中，资源所有者是受信任的客户端。

在资源服务器上，仅存储客户端详细信息和资源，不存储有关最终用户的信息。资源服务器不关心谁请求了资源，只关心该请求来自授权的客户端应用程序。

客户端app有CSRF防护，但是否需要在授权服务器上开启CSRF防护？我想不出任何攻击场景，因为通信是服务器对服务器的，客户端凭据被安全地存储，用户不能直接访问资源。