Respect response's status code

[ryo88c]

Passing WWW-Authenticate to header() overwrites the status code to 401.

https://github.com/php/php-src/blob/a51cb393b1accc29200e8f57ef867a6a47b2564f/main/SAPI.c#L829

According to RFC it is said that it is also possible to include WWW-Authenticate in status codes other than 401.

https://tools.ietf.org/html/rfc7235#page-7

A server MAY generate a WWW-Authenticate header field in other response.

Since OAuth 2.0 Bearer writes its contents in WWW-Authenticate header even for errors other than 401, the original status code is applied after the status code reaches 401 by inserting the WWW-Authenticate header field is necessary.

https://tools.ietf.org/html/rfc6750#page-9

---

401 以外のステータスコードでも WWW-Authenticate ヘッダを挿入できるように。

header() に WWW-Authenticate を渡すとステータスコードが 401 に上書きされます。

https://github.com/php/php-src/blob/a51cb393b1accc29200e8f57ef867a6a47b2564f/main/SAPI.c#L829

RFC によれば 401 以外のステータスコードでも WWW-Authenticate を含めてもよいとされています。

https://tools.ietf.org/html/rfc7235#page-7

A server MAY generate a WWW-Authenticate header field in other response.

OAuth 2.0 Bearer では 401 以外のエラーでもその内容を WWW-Authenticate ヘッダ記述するため、WWW-Authenticate ヘッダを挿入したことによってステータスコードが 401 になった後、本来のステータスコードが適用される必要があります。

https://tools.ietf.org/html/rfc6750#page-9

[koriym]

これはPHP内部の動作とも関係してテストコードの記述は難しいですよね？

[ryo88c]

そうですね。検証性のあるテストを書くのは難しいと思います。

[koriym]

これはhttp_response_codeでコードを先に出力してもWWW-Authenticateが失敗した時も401ではなく指定したHTTPコードを出力したいというものですよね？

[ryo88c]

はい、そうです。OAuth 2.0 Bearer の仕様に基づき、レスポンスヘッダに WWW-Authenticate が含まれているときに 401 以外のステータスコードも返したいです。

[koriym]

他のも調べて見他ところ、タイムリーに同じようなディスカッションが..
zendframework/zend-diactoros#273

[koriym]

@ryo88c さんのPRと同じようにstatus codeの出力を他のheaderの後にしていますね

[koriym]

他からも参照したいので、タイトルをオリジナルの「Allow the WWW-Authenticate header field in other response than 401.」からより実態に即した「Respect response's status code」(zend-diactorosでのissueと同じ）に変更します。