Correct error responses in the AccessTokenMiddleware

[caspervdw]

There is a spec for this:

https://tools.ietf.org/html/rfc6750#section-3.1

[caspervdw]

Discussion from #14

Is het niet iets dat op een mogelijk probleem wijst? Als een ingelogde gebruiker OOK nog eens een bearer token heeft? Even loggen zou het uitzoeken van problemen kunnen verhelpen.

Dit zie ik wel als een user error, en niet een voor developers. Bij Lizard's setup krijg je nu een sentry melding om je oren.

In de RFC voor bearer tokens lees ik dat je een 400 zou moeten geven in dit geval (2 authenticatie methodes in 1):

invalid_request
The request is missing a required parameter, includes an
unsupported parameter or parameter value, repeats the same
parameter, uses more than one method for including an access
token, or is otherwise malformed. The resource server SHOULD
respond with the HTTP 400 (Bad Request) status code.

Misschien is dat het duidelijkst voor iedereen? Anders krijg je misschien situaties waarin het onduidelijk is waarom een Bearer token wordt genegeerd. "Oooh ik had nog een session cookie"