Cada vez que el servidor recibe una solicitud HTTP, se llama al evento OnOAuth2IsPrivateEndpoint para preguntar si el endpoint es privado o no. Por defecto, no es privado.
procedure OnOAuth2IsPrivateEndpoint(Sender: TObject; const aEndpoint: string; var IsPrivate: Boolean);
begin
if aEndpoint = '/private' then
IsPrivate := True;
end;