spring oauth2 的 clientId 和 secret 验证为什么封装成 UsernamePasswordAuthenticationToken？

spring cloud oauth2 走 /oauth2/token 接口获取 token 时

首先验证 clientId 和 clientSecret 这时候进入 BasicAuthenticationFilter.doFilterInternal 中把 request 中的 clientId 和 clientSecret 封装成 UsernamePasswordAuthenticationToken，

然后再验证 用户名密码， 用户名密码也封装成 UsernamePasswordAuthenticationToken 。

这也太诡异了啊，获取 token 成功后会触发 AuthenticationSuccessEvent， 但是一次请求会触发两次事件，一次是 clientAuthentication， 一次是 userAuthentication , 他们的 authenticationSuccessEvent.getSource() 都是 instance of UsernamePasswordAuthenticationToken

请问为什么啊

--- ---- client 验证 的代码

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)  {    
            UsernamePasswordAuthenticationToken authRequest = this.authenticationConverter.convert(request);
            if (authRequest == null) {
                chain.doFilter(request, response);
                return;
            }
        chain.doFilter(request, response);
    }