Request zonder JWT geeft 403 Permission denied i.p.v. 401 Unauthorized

[stevenbal]

Bug

Als ik een request doe op een endpoint waar authenticatie op zit (bijv. https://zaken-api.vng.cloud/api/v1/zaken) en ik geen JWT token meegeef, dan zou ik een 401 Unauthorized verwachten, maar ik krijg een 403 Permission denied:

{
    "type": "https://zaken-api.vng.cloud/ref/fouten/PermissionDenied/",
    "code": "permission_denied",
    "title": "Je hebt geen toestemming om deze actie uit te voeren.",
    "status": 403,
    "detail": "Je hebt geen toestemming om deze actie uit te voeren.",
    "instance": "urn:uuid:9a905ec7-b566-408d-8a13-fa3d8069c714"
}

Een soortgelijk probleem geldt als ik wel een JWT meegeef, maar met een client_id dat niet herkent wordt door het component wat ik probeer aan te spreken, ook daar zou ik een 401 verwachten:

{
    "type": "https://zaken-api.vng.cloud/ref/fouten/PermissionDenied/",
    "code": "invalid-client-identifier",
    "title": "Je hebt geen toestemming om deze actie uit te voeren.",
    "status": 403,
    "detail": "Client identifier bestaat niet",
    "instance": "urn:uuid:3e766966-405c-45db-a9e3-4833fd86834d"
}