<div dir="ltr"><div><div><div>Hi,<br><br></div>We have identified that even if the user hasn&#39;t verified his email (he cannot log in until it&#39;s verified), he can still invoke the &#39;auth/realms/{realm}<span style="color:rgb(51,51,51)">/tokens</span>/grants/access&#39; API and retrieve a valid Access Token. APIs can be successfully invoked through this Access Token. This seems to be a buggy scenario. <br><br>Can anyone confirm if this is actually a bug or if this is the expected behavior? <br><br><br></div>Regards,<br></div>Lohitha.<br></div>