これは <a href="https://qiita.com/advent-calendar/2021/django" target="_blank" rel="nofollow noopener noreferrer">Django Advent Calendar 2021</a> の 21日 の記事です。
やぁ！全国の3万236人くらいの Django REST framework厨 のみんな元気してるかな？突然だけど、下記のコードをみて欲しい。
<div class="code-block-container"><pre class="language-python"><code class="language-python"># settings.py ----

REST_FRAMEWORK = {
 'DEFAULT_AUTHENTICATION_CLASSES': [
 'rest_framework.authentication.TokenAuthentication',
 ]
}


# views.py ----

from rest_framework.views import APIView
from rest_framework.response import Response
from rest_framework.permissions import IsAuthenticated

class SpamAPIView(APIView):

 permission_classes = [IsAuthenticated]

 def get(self, request, *args, **kwargs):
 return Response({"message": "200 ok"})

spam = SpamAPIView.as_view()
</code></pre></div>このコードは見ての通り、<code>IsAuthenticated</code> が指定されてるので、単純にGETでアクセスしても認証エラーになる。
この時、レスポンスのHTTPステータスコードは何になると思いますか？ Let's ティンキングタイム！
... はい。終了。そうだね認証エラーの時は 401 unauthorized が返ってくる。当たり前だね。
じゃあ次のように settingsのコードを変えてみたらどうなるだろう。
<div class="code-block-container"><pre class="language-python"><code class="language-python"> REST_FRAMEWORK = {
 'DEFAULT_AUTHENTICATION_CLASSES': [
 'rest_framework.authentication.SessionAuthentication',
 ]
 }
</code></pre></div>... はい。そうだね 403 permission denied が返ってくる。まだまだ余裕だね。
じゃぁ <code>TokenAuthentication</code> と <code>SessionAuthentication</code> を複数指定するとどうなる？
<div class="code-block-container"><pre class="language-python"><code class="language-python"> REST_FRAMEWORK = {
 'DEFAULT_AUTHENTICATION_CLASSES': [
 'rest_framework.authentication.TokenAuthentication',
 'rest_framework.authentication.SessionAuthentication',
 ]
 }
</code></pre></div>そう 401 だね。当然だ。じゃぁ順番を入れ替えてみようか。
<div class="code-block-container"><pre class="language-python"><code class="language-python"> REST_FRAMEWORK = {
 'DEFAULT_AUTHENTICATION_CLASSES': [
 'rest_framework.authentication.SessionAuthentication',
 'rest_framework.authentication.TokenAuthentication',
 ]
 }
</code></pre></div>... はい。そうだね ... 403 が返ってくる...
どう？ Django REST framework厨 のお前らならば余裕で知ってたよね？ おじさんが気づいた時は、意味がわからなくてとても混乱したよ。
<h2 id="%E4%BD%95%E3%81%93%E3%82%8C%EF%BC%9F">
<a class="header-anchor-link" href="#%E4%BD%95%E3%81%93%E3%82%8C%EF%BC%9F" aria-hidden="true"></a> 何これ？</h2>
この挙動はドキュメントに記載してある
<ul>
<li><a href="https://www.django-rest-framework.org/api-guide/authentication/#unauthorized-and-forbidden-responses" target="_blank" rel="nofollow noopener noreferrer">https://www.django-rest-framework.org/api-guide/authentication/#unauthorized-and-forbidden-responses</a></li>
</ul>
簡単に言うと
<ul>
<li>
<code>401</code> は <code>WWW-Authenticate</code> が必須</li>
<li>どちらのスタータスコードを返すべきかは認証方式により異なる</li>
<li>
<code>restframework</code> は、どちらを返すべきかは<code>AUTENTICAION_CLASSES</code> の 先頭のクラス によって判断している</li>
</ul>
となる
最初の例だと、SessionAuthentication が先頭にくるか、TokenAuthentication が先頭にくるかで、認証エラー時のステータスコードが変わってくるということ。
<h2 id="www-authenticate-%E3%81%A6%E4%BD%95%3F">
<a class="header-anchor-link" href="#www-authenticate-%E3%81%A6%E4%BD%95%3F" aria-hidden="true"></a> WWW-Authenticate て何?</h2>
<ul>
<li>
<code>WWW-Authenticate</code> は URIリソースに対して、どういう認証方式(チャレンジ)が必要かを明示するためのレスポンスヘッダー。</li>
<li><a href="https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/WWW-Authenticate" target="_blank" rel="nofollow noopener noreferrer">https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/WWW-Authenticate</a></li>
<li>Basic認証とかDigest認証とか</li>
<li>レスポンスヘッダーにある<code>WWW-Authenticate</code> をみてリクエスト側が、それに合わせて <code>Authorization</code> ヘッダーをセットしたりする</li>
<li>restframework の <code>TokenAuthentication</code> であれば <code>WWW-Authenticate: Token</code> がレスポンスヘッダーにセットされるようになっている。</li>
</ul>
<h2 id="sessionauthentication-%E3%81%AF%E3%81%AA%E3%82%93%E3%81%A7403%E3%81%AA%E3%81%AE%3F">
<a class="header-anchor-link" href="#sessionauthentication-%E3%81%AF%E3%81%AA%E3%82%93%E3%81%A7403%E3%81%AA%E3%81%AE%3F" aria-hidden="true"></a> SessionAuthentication はなんで403なの?</h2>
<ul>
<li>
<code>WWW-Authenticate</code> は ユーザー がリクエストヘッダーに明示的に認証方式に合わせて認証情報を乗せてリクエストすることで、認証が成立する。
</li>
<li>
一方セッション認証というのは、特にRFCとして実装方法が規定されているわけでもい。
</li>
<li>
大概はブラウザによるCookieの自動送信に任せてたりするので、クライアントが明示的にリクエストにセットしているわけはないという点で <code>WWW-Authenticate</code> をセットするべきではないという見解のようだ。
</li>
<li>
<code>WWW-Authenticate</code> がないのであれば、 それは仕様上 401 にはするべきではないので 403 にしている。
</li>
<li>
この辺は、restframework のユーザーも混乱してイシューに何度か上がっていたりする
<ul>
<li><a href="https://github.com/encode/django-rest-framework/issues/5968" target="_blank" rel="nofollow noopener noreferrer">https://github.com/encode/django-rest-framework/issues/5968</a></li>
</ul>
</li>
</ul>
<h2 id="www-authenticate-%E3%81%AF-%E8%A4%87%E6%95%B0%E5%85%A5%E3%82%8C%E3%82%8C%E3%81%B0%E8%89%AF%E3%81%84%E3%81%AE%E3%81%A7%E3%81%AF%EF%BC%9F">
<a class="header-anchor-link" href="#www-authenticate-%E3%81%AF-%E8%A4%87%E6%95%B0%E5%85%A5%E3%82%8C%E3%82%8C%E3%81%B0%E8%89%AF%E3%81%84%E3%81%AE%E3%81%A7%E3%81%AF%EF%BC%9F" aria-hidden="true"></a> WWW-Authenticate は 複数入れれば良いのでは？</h2>
MDN の 説明では以下のように書かれている
<div class="code-block-container"><pre><code>1 つの WWW-Authenticate ヘッダーには複数のチャレンジが許され、
1 つのレスポンスには複数の WWW-Authenticate ヘッダーが許されます。
</code></pre></div>この仕様をみると、<code>AUTHENTICATION_CLASSES</code> の先頭だけとかにせず、設定されてる全ての認証方式の <code>WWW-Authenticate</code> を返せばいいのでは？とかいう疑問が出てくる。
全く同じことを考えている人がいた
<ul>
<li><a href="https://github.com/encode/django-rest-framework/issues/5968" target="_blank" rel="nofollow noopener noreferrer">https://github.com/encode/django-rest-framework/issues/5968</a></li>
</ul>
端的にいうとこのアイディアは副作用があるので良くないということだった。例えば、以下のような設定の場合
<div class="code-block-container"><pre class="language-python"><code class="language-python">REST_FRAMEWORK = {
 'DEFAULT_AUTHENTICATION_CLASSES': (
 'rest_framework.authentication.SessionAuthentication',
 'rest_framework.authentication.TokenAuthentication',
 'rest_framework.authentication.BasicAuthentication',
 )
}
</code></pre></div><code>WWW-Authenticate</code> には トークン認証と、Basic認証を一緒にして返すことができるが、 
世の中のブラウザはBasic認証などの場合、認証のダイアログが表示されてしまう。
これは開発してる側としては嬉しくない副作用であるということが理解できる。なので、主となる先頭の認証方式だけを見て判断している。
<h2 id="%E3%81%AA%E3%82%93%E3%81%A7%E3%81%93%E3%82%8C%E3%81%AB%E6%B0%97%E3%81%A5%E3%81%84%E3%81%9F%E3%81%AE%EF%BC%9F">
<a class="header-anchor-link" href="#%E3%81%AA%E3%82%93%E3%81%A7%E3%81%93%E3%82%8C%E3%81%AB%E6%B0%97%E3%81%A5%E3%81%84%E3%81%9F%E3%81%AE%EF%BC%9F" aria-hidden="true"></a> なんでこれに気づいたの？</h2>
<ul>
<li>
<code>django</code> で <code>webtest</code> を使えるようにする <a href="https://github.com/django-webtest/django-webtest" target="_blank" rel="nofollow noopener noreferrer">django-webtest</a> というライブラリがある。</li>
<li>このライブラリは、<code>settings</code> に <code>REST_FRAMEWORK</code> があるかどうかを見て、自動的に <code>DEFAULT_AUTHENTICATION_CLASSES</code> の 先頭 に <code>WebtestAuthentication</code>というクラスを追加してくる
<ul>
<li><a href="https://github.com/django-webtest/django-webtest/blob/dbfb6e9054b64c8ff88513a975f4efb7927ad537/django_webtest/__init__.py#L292-L303" target="_blank" rel="nofollow noopener noreferrer">https://github.com/django-webtest/django-webtest/blob/dbfb6e9054b64c8ff88513a975f4efb7927ad537/django_webtest/init.py#L292-L303</a></li>
<li><a href="https://github.com/django-webtest/django-webtest/blob/master/django_webtest/rest_framework_auth.py" target="_blank" rel="nofollow noopener noreferrer">https://github.com/django-webtest/django-webtest/blob/master/django_webtest/rest_framework_auth.py</a></li>
</ul>
</li>
<li>これにより トークン認証とかを採用してた場合、通常は<code>401</code> が返ってくるが、なぜかテストの時だけ403が返ってくる という現象が発生する。</li>
<li>多分、django-webtest の作者が今回の仕様について知らなかっただけと思われる。</li>
<li>まだPRは出してない。</li>
</ul>
<h2 id="%E3%81%BE%E3%81%A8%E3%82%81">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h2>
<ul>
<li>最初は、順番に依存するとか、わかりにくい仕様だなと思ったが、割とちゃんとした理由があったので、至って落ち着いています。</li>
<li>401 とか 403とか WWW-Authenticate についてあまり良くわかってなかったので、調べてよかった。</li>
<li>アドベントカレンダーの担当日を完全に勘違いしてました。申し訳ありません...</li>
</ul>

REST framework厨のお前らならば余裕で知ってる認証失敗時の401と403の違い

SessionAuthentication はなんで403なの?

WWW-Authenticate は 複数入れれば良いのでは？

Discussion