1、开源版本有个很重要的职能就是帮助入门和演示，如果让autoapprove生效，有些人在没搞懂之前，就会产生其它的疑问，比如说，为什么第一次有确认的页面，第二次就没有。
2、从实际使用角度上讲，autoapprove只是个补充，微信、支付宝这些第三方登录都是授权码模式，第三方登录的时候，你看那个会默认给你自动确认，都是需要你手动点一下。
3、Scope校验这个东西，就算在OAuth2里面开启了，也只是简单的对比一下字符串。如果你不进行自定义改造，即便开启Scope校验也相当于摆设，实际应用中对安全的提升作用也很小。换句话说常规使用OAuth2只有认证，没有鉴权，如果不开发自定自定义的鉴权，autoApproveScopes这个东西就是个摆设，还不如没有。
4、之前回复你说的这些，意思就是想让你明白，好好研究研究OAuth2，就算只看看OAuth2的autoapprove， autoApproveScopes相关的源代码，也比你花这么多时间和精力证明你说的就是对的、它就是本系统的BUG有意义的多。
5、开源版本我故意在一些地方弄留了点坑，就是想以此发现一些志同道合的兄弟，一起来完善和改进。而不希望所有人都只是想都不想，就想用现成的。如果你把OAuth2搞懂了，你觉得这样不合适，也欢迎你加入进来一起做一起完善，当然前提是你得知道怎么改不是。

比如说，你去看看类似于下面这些代码，是不是就明白怎么回事了。