nene2-python 1.8.22__tar.gz → 1.8.24__tar.gz

{nene2_python-1.8.22 → nene2_python-1.8.24}/CHANGELOG.md

@@ -5,6 +5,29 @@ Format follows [Keep a Changelog](https://keepachangelog.com/en/1.1.0/).
 
 ---
 
+## [1.8.23] — 2026-05-20
+
+FT77 フィールドトライアル — BearerToken + ApiKey 混在認証と include_paths 追加。
+
+### Added
+- `BearerTokenMiddleware` / `ApiKeyAuthMiddleware` に `include_paths` パラメーターを追加 (#331) (FT77)
+  — プレフィックスマッチで「守りたいパス」を直接指定でき、混在認証の `exclude_paths` 二重管理を解消
+- Field trial report: `docs/field-trials/2026-05-field-trial-77.md` (FT77)
+
+---
+
+## [1.8.22] — 2026-05-20
+
+FT76 フィールドトライアル — async def + sync DB ブロッキング問題と run_in_threadpool 追加。
+
+### Added
+- `run_in_threadpool` を `nene2.use_case` から re-export (#326) (FT76)
+  — Starlette の `run_in_threadpool` を nene2 公開 API として公開し、
+  `async def` ハンドラーから同期 DB 処理を安全にスレッドプールへオフロードできる
+- Field trial report: `docs/field-trials/2026-05-field-trial-76.md` (FT76)
+
+---
+
 ## [1.8.21] — 2026-05-20
 
 FT75 フィールドトライアル — ミドルウェアスタック順序問題の発見と根本解決。

{nene2_python-1.8.22 → nene2_python-1.8.24}/PKG-INFO

@@ -1,6 +1,6 @@
 Metadata-Version: 2.4
 Name: nene2-python
-Version: 1.8.22
+Version: 1.8.24
 Summary: NENE2 Python — minimal API framework following NENE2's design philosophy
 Project-URL: Homepage, https://github.com/hideyukiMORI/nene2-python
 Project-URL: Repository, https://github.com/hideyukiMORI/nene2-python

nene2_python-1.8.24/docs/field-trials/2026-05-field-trial-77.md

@@ -0,0 +1,179 @@
+# FT77: BearerToken + ApiKey 混在認証
+
+**日付**: 2026-05-20  
+**テーマ**: 同一アプリで認証方式を混在させる — `/admin/*` は JWT Bearer、`/webhook/*` は API Key  
+**バージョン**: v1.8.22  
+**FTディレクトリ**: `/home/xi/docker/nene2-python-FT/ft77-mixed-auth/`
+
+---
+
+## 概要
+
+実運用では「認証方式がルートによって異なる」は非常に一般的なニーズ。
+nene2 の `BearerTokenMiddleware` と `ApiKeyAuthMiddleware` を混在させる方法を検証した。
+ミドルウェアはアプリ全体をカバーするため、`exclude_paths` を使った回避策が必要で、
+ここに大きな摩擦があることが判明した。
+
+---
+
+## 実装したパターン
+
+```
+/admin/*   → BearerTokenMiddleware（JWT Bearer 必須）
+/webhook/* → ApiKeyAuthMiddleware（X-Api-Key 必須）
+/public/*  → 認証不要
+```
+
+### 設定コード
+
+```python
+app.add_middleware(
+    BearerTokenMiddleware,
+    verifier=admin_verifier,
+    exclude_paths=[
+        "/docs", "/openapi.json", "/redoc", "/health",
+        "/public/hello", "/public/status",
+        "/webhook/event", "/webhook/ping",  # ← webhook は除外
+    ],
+)
+
+app.add_middleware(
+    ApiKeyAuthMiddleware,
+    verifier=webhook_verifier,
+    exclude_paths=[
+        "/docs", "/openapi.json", "/redoc", "/health",
+        "/public/hello", "/public/status",
+        "/admin/dashboard", "/admin/users",  # ← admin は除外
+    ],
+)
+```
+
+---
+
+## 発見した問題
+
+### 問題1: exclude_paths の二重管理
+
+認証対象でないパスを **各ミドルウェアに個別に列挙** しなければならない。
+
+- 新しい `/admin/settings` ルートを追加 → `ApiKeyAuthMiddleware` の `exclude_paths` にも追加必要
+- 忘れると: Bearer トークンを持っていても、API Key がないため 401 になる
+- **サイレント障害**: 認証エラーなので「なぜ 401？」と混乱しやすい
+
+### 問題2: exclude_paths はルートではなく完全一致パス
+
+`exclude_paths` はプレフィックスマッチングをサポートしない。
+
+```python
+# ❌ プレフィックスマッチしない
+exclude_paths=["/admin"]  # /admin/dashboard にマッチしない
+
+# ✅ 完全一致のみ
+exclude_paths=["/admin/dashboard", "/admin/users"]  # 各パスを列挙
+```
+
+ルート数が増えると管理が煩雑になる。
+
+### 問題3: per-route 認証デコレーターがない
+
+FastAPI の Depends() パターンでルートごとに認証を指定することが nene2 では直接できない。
+
+```python
+# FastAPI 標準 (nene2 提供なし)
+from fastapi.security import HTTPBearer
+security = HTTPBearer()
+
+@app.get("/admin/dashboard")
+def admin(token = Depends(security)):
+    ...
+```
+
+nene2 でこれをやるには生の FastAPI `Depends()` を使う必要があり、
+nene2 の `TokenVerifierProtocol` との統合方法が不明瞭。
+
+### 問題4: 「どちらかで認証」が実現できない
+
+Bearer でも API Key でも OK という「OR 認証」がミドルウェア方式では実現困難。
+
+```
+# 現状では:
+BearerMiddleware: 対象パスはBearer必須
+ApiKeyMiddleware: 対象パスはApiKey必須
+
+# 実現できない:
+"Bearer OR ApiKey どちらかがあれば OK"
+```
+
+---
+
+## テスト結果（全17件パス）
+
+```
+test_public_hello_no_auth               PASSED  # 公開エンドポイント
+test_public_status_no_auth              PASSED
+test_health_no_auth                     PASSED
+test_admin_with_valid_bearer            PASSED  # 正常認証
+test_admin_without_auth_returns_401     PASSED
+test_admin_with_invalid_bearer_returns_401  PASSED
+test_admin_with_api_key_instead_of_bearer_returns_401  PASSED  # 認証方式が違う
+test_admin_users_with_valid_bearer      PASSED
+test_webhook_with_valid_api_key         PASSED
+test_webhook_without_auth_returns_401   PASSED
+test_webhook_with_invalid_api_key_returns_401  PASSED
+test_webhook_with_bearer_instead_of_api_key_returns_401  PASSED
+test_admin_with_both_headers_bearer_wins  PASSED  # 両方送ると適切に処理
+test_webhook_with_both_headers_apikey_wins  PASSED
+test_friction_new_admin_route_needs_exclude_update  PASSED  # 摩擦の記録
+test_friction_exclude_paths_is_per_middleware  PASSED
+test_nene2_has_no_per_route_auth_decorator  PASSED  # per-route 機能なし確認
+```
+
+---
+
+## 摩擦ポイント一覧
+
+| ID | 内容 | 深刻度 |
+|---|---|---|
+| F77-1 | exclude_paths の二重管理 — 新ルートを追加するたびに各ミドルウェアを更新 | 高 |
+| F77-2 | exclude_paths がプレフィックスマッチをサポートしない（完全一致のみ）| 中 |
+| F77-3 | per-route 認証デコレーターがない — Depends() との統合方法が不明 | 中 |
+| F77-4 | Bearer OR ApiKey の OR 認証が実現できない | 中 |
+
+---
+
+## 使用感（主観評価）
+
+### 直感性 ★★☆☆☆
+
+「ミドルウェアは全体をカバーする」という原則は理解できる。
+しかし「特定のルートだけ認証したい」という非常に一般的なニーズに、
+`exclude_paths` という「否定のリスト」で対応するのは直感に反する。
+
+Express の `passport.authenticate()` や Spring Security の `requestMatchers()` は
+「守りたいパスを指定」するモデル。nene2 は「除外するパスを指定」という逆のモデルで混乱しやすい。
+
+### 実害の深刻さ ★★★★☆
+
+新しいルートを追加したとき、`exclude_paths` の更新を忘れると **サイレントな認証エラー** が発生する。
+本番でユーザーが急に 401 になり、コードを読んでも一見問題がないように見える。
+ミドルウェアの設定を疑わないと根本原因に辿り着けない。
+
+### 修正のしやすさ ★★★☆☆
+
+根本解決は「プレフィックスマッチ対応」または「per-route auth」の提供。
+プレフィックスマッチは小さな変更で実現できる。
+per-route auth の提供は FastAPI Depends() との統合が必要で中程度の工数。
+
+### 総合コメント
+
+「守りたいパスのプレフィックスを指定する」モデルへの転換が最も効果的。
+`include_paths: list[str] | None` または `path_prefix: str` パラメーターを追加するだけで、
+「`/admin` 以下は全部 Bearer 必須」と書けるようになり、UX が大幅に改善する。
+
+---
+
+## 推奨アクション
+
+1. **Issue**: `BearerTokenMiddleware` / `ApiKeyAuthMiddleware` に `include_paths` または `path_prefixes` パラメーターを追加
+2. **Issue**: `exclude_paths` にプレフィックスマッチ（`/admin/*` 形式）をサポート
+3. **将来**: `nene2.auth` に FastAPI `Depends()` 統合ヘルパーを提供

nene2_python-1.8.24/docs/field-trials/2026-05-field-trial-78.md

@@ -0,0 +1,164 @@
+# FT78: ThrottleMiddleware 境界動作
+
+**日付**: 2026-05-20  
+**テーマ**: レート制限のウィンドウリセット・バースト動作・path_limits の挙動検証  
+**バージョン**: v1.8.23  
+**FTディレクトリ**: `/home/xi/docker/nene2-python-FT/ft78-throttle-boundary/`
+
+---
+
+## 概要
+
+`ThrottleMiddleware` の境界動作を詳細に検証した。
+基本機能（429 返却、Retry-After ヘッダー、path_limits）は期待通り動作した。
+一方で、Fixed Window アルゴリズムの構造的な制限と、
+マルチプロセス環境での in-memory 共有不可という制約が明確になった。
+
+---
+
+## 動作確認
+
+### 429 レスポンス形式
+
+```json
+{
+  "type": "https://httpstatuses.com/too-many-requests",
+  "title": "Too Many Requests",
+  "status": 429,
+  "detail": "Rate limit exceeded. Retry after 58 seconds."
+}
+```
+
+Retry-After ヘッダーあり ✅
+
+### レート制限ヘッダー（全レスポンスに付与）
+
+```
+X-RateLimit-Limit: 3
+X-RateLimit-Remaining: 2
+X-RateLimit-Reset: 1747742980
+```
+
+全レスポンス（200 も 429 も）にヘッダーが付く ✅
+
+### path_limits: グローバルカウンターと独立 ✅
+
+```python
+app.add_middleware(ThrottleMiddleware, limit=100, path_limits={"/api/search": 5})
+```
+
+`/api/search` の制限 (5) は `/api/data` のグローバル制限 (100) と完全に独立。
+
+---
+
+## 発見した問題
+
+### 問題1: Fixed Window バースト問題（設計上の制限）
+
+固定ウィンドウ方式では、ウィンドウ境界で最大 `2 × limit` のリクエストが短時間に通過できる。
+
+```
+window=60s, limit=3 の場合:
+  t=59s: 3 req 通過（ウィンドウ1の末尾）
+  t=61s: 3 req 通過（ウィンドウ2の先頭）
+  → 2秒間に 6 req が通ってしまう
+```
+
+Flask-Limiter デフォルトの Sliding Window では防げるが、
+nene2 は計算コストの低い Fixed Window を採用している。
+
+ドキュメントにこの制限を明記すべき。
+
+### 問題2: in-memory カウンターはマルチプロセス非対応
+
+`_counts` は Python の `dict` で保持されており、
+複数の uvicorn ワーカー（`gunicorn -w 4`）や Docker Pod では共有されない。
+
+実効的な制限は `limit × worker_count` になる。
+本番で水平スケールさせると全くレート制限が機能しない。
+
+**ドキュメントに警告はある**（コードの docstring）が、README や使用例には書かれていない。
+
+### 問題3: カウント状態の観察手段がない
+
+現在のカウント状態（「このIPが今 N/M 消費」）を外部から取得する手段がない。
+デバッグ時に困る。
+
+```python
+# これが欲しいが存在しない
+info = middleware.get_rate_info(ip="192.168.1.1")
+print(info.current_count, info.remaining)
+```
+
+### 問題4: exclude_paths はヘッダーも返さない
+
+除外パスにはレート制限ヘッダーが一切付かない。
+クライアントが「このパスは制限外か？」を知る方法がない。
+
+---
+
+## テスト結果（全14件パス）
+
+```
+test_requests_within_limit_are_allowed              PASSED
+test_exceeding_limit_returns_429                    PASSED
+test_429_response_is_problem_details                PASSED
+test_rate_limit_headers_present_on_200              PASSED
+test_rate_limit_remaining_decrements                PASSED
+test_retry_after_header_present_on_429              PASSED
+test_retry_after_reasonable_value                   PASSED
+test_path_limits_independent_from_global            PASSED
+test_path_limits_headers_show_path_limit            PASSED
+test_exclude_paths_bypass_throttle                  PASSED
+test_window_resets_after_elapsed                    PASSED
+test_friction_no_global_ip_tracking_visible_to_user PASSED
+test_friction_in_memory_state_not_shared_across_workers  PASSED
+test_friction_fixed_window_burst_at_boundary        PASSED
+```
+
+---
+
+## 摩擦ポイント一覧
+
+| ID | 内容 | 深刻度 |
+|---|---|---|
+| F78-1 | Fixed Window バースト問題がドキュメントに明記されていない | 中 |
+| F78-2 | マルチプロセス非対応（in-memory）がドキュメントに明記されていない | 高 |
+| F78-3 | カウント状態の観察 API がない | 低 |
+| F78-4 | exclude_paths のパスにレート制限ヘッダーが付かない | 低 |
+
+---
+
+## 使用感（主観評価）
+
+### 直感性 ★★★★☆
+
+`setup_middlewares(app, throttle_limit=60, throttle_window=60)` で一発設定できる点は非常に快適。
+`path_limits` / `exclude_paths` のパラメーター名も直感的。
+`Retry-After` が自動で付くのはエレガント。
+
+### 実害の深刻さ ★★★★☆
+
+マルチプロセス非対応は本番で深刻。
+「レート制限を設定したのに効いていない」というデバッグは非常に時間がかかる。
+ただし docstring に警告が書かれており、見れば分かる（見逃しやすいが）。
+
+### 修正のしやすさ ★★★★★
+
+ドキュメント追記のみで対応できる問題が多い。
+実装変更（Redis 対応）は将来的な機能拡張として Issues に記録する程度でよい。
+
+### 総合コメント
+
+基本機能は非常によくできている。
+問題は「制限の文書化」が不足している点。
+Fixed Window の特性とマルチプロセス制約を README や使用例に追記するだけで
+UX が大幅に改善する。実装は変えなくてよい。
+
+---
+
+## 推奨アクション
+
+1. **Issue**: ThrottleMiddleware のドキュメントに Fixed Window バースト特性を追記
+2. **Issue**: ThrottleMiddleware のドキュメントにマルチプロセス非対応の警告を目立つ位置に追記
+3. **将来**: Redis カウンターバックエンドの検討（外部依存なので慎重に）

{nene2_python-1.8.22 → nene2_python-1.8.24}/pyproject.toml

@@ -1,6 +1,6 @@
 [project]
 name = "nene2-python"
-version = "1.8.22"
+version = "1.8.24"
 description = "NENE2 Python — minimal API framework following NENE2's design philosophy"
 readme = "README.md"
 license = {text = "MIT"}

{nene2_python-1.8.22 → nene2_python-1.8.24}/src/nene2/auth/api_key.py

@@ -17,10 +17,30 @@ _DEFAULT_API_KEY_HEADER = "X-Api-Key"
 
 
 class ApiKeyAuthMiddleware(BaseHTTPMiddleware):
-    """Require a valid API key header on every request.
+    """Require a valid API key header on matching requests.
 
-    The header name defaults to ``X-Api-Key`` but can be customised::
+    The header name defaults to ``X-Api-Key`` but can be customised.
 
+    **Path filtering** — two complementary options (mutually exclusive):
+
+    - ``include_paths``: only protect paths whose prefix matches one of these values.
+      All other paths pass through without authentication.
+      Ideal for protecting a specific sub-tree (e.g. ``["/webhook"]``).
+    - ``exclude_paths``: protect every path **except** these exact paths.
+      Ideal for skipping docs / health endpoints.
+
+    When both are provided, ``include_paths`` takes precedence.
+
+    Examples::
+
+        # Protect only /webhook/* routes (prefix match)
+        app.add_middleware(
+            ApiKeyAuthMiddleware,
+            verifier=LocalTokenVerifier(api_keys),
+            include_paths=["/webhook"],
+        )
+
+        # Protect everything except docs/health (exact match)
         app.add_middleware(
             ApiKeyAuthMiddleware,
             verifier=LocalTokenVerifier(api_keys),
@@ -36,14 +56,21 @@ class ApiKeyAuthMiddleware(BaseHTTPMiddleware):
         verifier: TokenVerifierProtocol,
         header_name: str = _DEFAULT_API_KEY_HEADER,
         exclude_paths: list[str] | None = None,
+        include_paths: list[str] | None = None,
     ) -> None:
         super().__init__(app)  # type: ignore[arg-type]
         self._verifier = verifier
         self._header_name = header_name
         self._exclude_paths = set(exclude_paths or [])
+        self._include_paths = list(include_paths or [])
+
+    def _should_authenticate(self, path: str) -> bool:
+        if self._include_paths:
+            return any(path.startswith(prefix) for prefix in self._include_paths)
+        return path not in self._exclude_paths
 
     async def dispatch(self, request: Request, call_next: RequestResponseEndpoint) -> Response:
-        if request.url.path in self._exclude_paths:
+        if not self._should_authenticate(request.url.path):
             return await call_next(request)
         api_key = request.headers.get(self._header_name, "")
         try:

{nene2_python-1.8.22 → nene2_python-1.8.24}/src/nene2/auth/bearer_token.py

@@ -17,11 +17,28 @@ _WWW_AUTH = 'Bearer realm="api"'
 
 
 class BearerTokenMiddleware(BaseHTTPMiddleware):
-    """Require a valid Bearer token on every request.
+    """Require a valid Bearer token on matching requests.
 
-    Use ``exclude_paths`` to skip authentication for specific paths such as
-    health-check endpoints or API documentation::
+    **Path filtering** — two complementary options (mutually exclusive):
 
+    - ``include_paths``: only protect paths whose prefix matches one of these values.
+      All other paths pass through without authentication.
+      Ideal for protecting a specific sub-tree (e.g. ``["/admin"]``).
+    - ``exclude_paths``: protect every path **except** these exact paths.
+      Ideal for skipping docs / health endpoints.
+
+    When both are provided, ``include_paths`` takes precedence.
+
+    Examples::
+
+        # Protect only /admin/* routes (prefix match)
+        app.add_middleware(
+            BearerTokenMiddleware,
+            verifier=LocalTokenVerifier(tokens),
+            include_paths=["/admin"],
+        )
+
+        # Protect everything except docs/health (exact match)
         app.add_middleware(
             BearerTokenMiddleware,
             verifier=LocalTokenVerifier(tokens),
@@ -35,13 +52,20 @@ class BearerTokenMiddleware(BaseHTTPMiddleware):
         *,
         verifier: TokenVerifierProtocol,
         exclude_paths: list[str] | None = None,
+        include_paths: list[str] | None = None,
     ) -> None:
         super().__init__(app)  # type: ignore[arg-type]
         self._verifier = verifier
         self._exclude_paths = set(exclude_paths or [])
+        self._include_paths = list(include_paths or [])
+
+    def _should_authenticate(self, path: str) -> bool:
+        if self._include_paths:
+            return any(path.startswith(prefix) for prefix in self._include_paths)
+        return path not in self._exclude_paths
 
     async def dispatch(self, request: Request, call_next: RequestResponseEndpoint) -> Response:
-        if request.url.path in self._exclude_paths:
+        if not self._should_authenticate(request.url.path):
             return await call_next(request)
         auth = request.headers.get("Authorization", "")
         if not auth.startswith("Bearer "):

{nene2_python-1.8.22 → nene2_python-1.8.24}/src/nene2/middleware/setup.py

@@ -90,6 +90,12 @@ def setup_middlewares(
         throttle_window: Rate-limit window in seconds (default: 60).
         throttle_path_limits: Per-path overrides for throttle limits.
         throttle_exclude_paths: Paths excluded from throttling.
+
+            .. warning::
+                ``ThrottleMiddleware`` uses an in-memory counter that is **not
+                shared across workers or pods**.  Multi-process deployments will
+                see an effective limit of ``throttle_limit × worker_count``.
+                See :class:`ThrottleMiddleware` for details.
         max_request_bytes: Maximum request body size in bytes (default: 1 MiB).
         request_size_path_limits: Per-path size limits.
         request_size_exclude_paths: Paths excluded from size limiting.

{nene2_python-1.8.22 → nene2_python-1.8.24}/src/nene2/middleware/throttle.py

@@ -55,6 +55,20 @@ class ThrottleMiddleware(BaseHTTPMiddleware):
     Path-limited endpoints are tracked independently from the global counter
     (the key includes the path, so ``/api/expensive`` quota is separate from
     the default quota for other paths).
+
+    .. warning:: **Single-process only.**
+        Counters are stored in an in-memory dict.  When running multiple
+        uvicorn workers (e.g. ``gunicorn -w 4``) or multiple containers,
+        each process maintains its own counter, so the effective rate limit
+        is ``limit × worker_count``.  For multi-process deployments, enforce
+        rate limits at the reverse proxy (nginx, Caddy) or use a shared
+        store (Redis).
+
+    .. note:: **Fixed-window burst at boundaries.**
+        Fixed-window counting can pass up to ``2 × limit`` requests in a
+        short burst when requests arrive just before and just after a window
+        boundary.  If you need protection against burst traffic, consider
+        sliding-window rate limiting at the proxy layer.
     """
 
     def __init__(

{nene2_python-1.8.22 → nene2_python-1.8.24}/tests/nene2/auth/test_api_key.py

@@ -122,3 +122,72 @@ def test_custom_header_name_in_error_message() -> None:
     response = client.get("/secret")
     assert response.status_code == 401
     assert "X-Internal-Key" in response.json().get("detail", "")
+
+
+# ---------------------------------------------------------------------------
+# include_paths tests
+# ---------------------------------------------------------------------------
+def test_include_paths_protects_matching_prefix() -> None:
+    app = FastAPI()
+    app.add_middleware(
+        ApiKeyAuthMiddleware,
+        verifier=LocalTokenVerifier(["key"]),
+        include_paths=["/webhook"],
+    )
+
+    @app.get("/webhook/event")
+    async def webhook_event() -> JSONResponse:
+        return JSONResponse({"received": True})
+
+    @app.get("/public/hello")
+    async def public_hello() -> JSONResponse:
+        return JSONResponse({"hello": True})
+
+    client = TestClient(app)
+    assert client.get("/webhook/event").status_code == 401
+    assert client.get("/webhook/event", headers={"X-Api-Key": "key"}).status_code == 200
+    assert client.get("/public/hello").status_code == 200
+
+
+def test_include_paths_multiple_prefixes() -> None:
+    app = FastAPI()
+    app.add_middleware(
+        ApiKeyAuthMiddleware,
+        verifier=LocalTokenVerifier(["key"]),
+        include_paths=["/webhook", "/internal"],
+    )
+
+    @app.get("/webhook/x")
+    async def webhook_x() -> JSONResponse:
+        return JSONResponse({"ok": True})
+
+    @app.get("/internal/y")
+    async def internal_y() -> JSONResponse:
+        return JSONResponse({"ok": True})
+
+    @app.get("/public/z")
+    async def public_z() -> JSONResponse:
+        return JSONResponse({"ok": True})
+
+    client = TestClient(app)
+    assert client.get("/webhook/x").status_code == 401
+    assert client.get("/internal/y").status_code == 401
+    assert client.get("/public/z").status_code == 200
+
+
+def test_include_paths_takes_precedence_over_exclude_paths() -> None:
+    """両方指定されたときは include_paths が優先される。"""
+    app = FastAPI()
+    app.add_middleware(
+        ApiKeyAuthMiddleware,
+        verifier=LocalTokenVerifier(["key"]),
+        include_paths=["/webhook"],
+        exclude_paths=["/webhook/open"],  # include_paths があるので無視される
+    )
+
+    @app.get("/webhook/open")
+    async def webhook_open() -> JSONResponse:
+        return JSONResponse({"ok": True})
+
+    client = TestClient(app)
+    assert client.get("/webhook/open").status_code == 401