HTTP status code 401, 403
401
401 を返す場合は
WWW-Authenticate
ヘッダーでデータを返さなければいけない
WWW-Authenticate - HTTP | MDN
Bearer
RFC 6750: The OAuth 2.0 Authorization Framework: Bearer Token Usage
ただの api token 方式に使っていいのかな?
error message はヘッダーに入れるべきかね?
401,403 どちらが適切かは RFC 6750 に書いてある
RFC 6750: The OAuth 2.0 Authorization Framework: Bearer Token Usage