在OAuth2 API端点上实施如下安全措施来防止代码泄漏和未授权访问：

1. 限制授权服务器的端点只能接受HTTPS请求
2. 使用授权码流程时，授权服务器应该验证redirect_uri参数确保它匹配之前注册的重定向URI，避免恶意攻击
3. 应用程序应该机密地保持其客户端ID和秘钥
4. 为每个应用程序生成唯一的客户端ID和秘钥对，并将其关联到应用程序的注册信息中
5. 在OAuth2端点上启用反重放攻击保护
6. 确保授权令牌的存储和传输是安全和加密的，使用JWT作为令牌类型为通过在令牌和API之间建立受信任关系，加强保护

示例代码：

使用Spring Security的OAuth2自动配置将提供一组默认OAuth2端点，并使用Spring Security的基于内存的令牌存储。可以通过配置文件和代码自定义这些端点以及与之关联的权限。

@Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter{

@Autowired
private UserDetailsService userDetailsService;

@Autowired
private AuthenticationManager authenticationManager;

@Value("${security.oauth2.client.client-id}")
private String clientId;

@Value("${security.oauth2.client.client-secret}")
private String clientSecret;

@Value("${security.oauth2.client.scope}")
private String[] scopes;

@Value("${security.oauth2.client.authorized-grant-types}")
private String[] grantTypes;

@Value("${security.oauth2.client.access-token-validity-seconds}")
private int accessTokenValiditySeconds;

@Value("${security.oauth2.client.refresh-token-validity-seconds}")
private int refreshTokenValiditySeconds;

@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
    clients