Por padrão, quando o OAuth2 está habilitado no lado do servidor, todas as requisições HTTP exigem autenticação usando Bearer Tokens.
Se você quiser permitir que algumas URLs sejam acessadas sem a necessidade de usar um Bearer Token, você pode usar o evento OnOAuth2BeforeRequest
procedure OnOAuth2BeforeRequest(Sender: TObject; aConnection: TsgcWSConnection; aHeaders: TStringList;
var Cancel: Boolean);
begin
if DecodeGETFullPath(aHeaders) = '/Public.html' then
Cancel := True
else if DecodePOSTFullPath(aHeaders) = '/Form.html' then
Cancel := True;
end;