ハマった。。

NextJSのアプリにAWSのWAFでBasic認証かけたら、特定のページで１回目の認証をスルーした後でもう一度認証求められるようになった。

結論いうとChromeの仕様で401返されたときにBasic認証の認証済みステータスもろとも消し去るようになったのが原因。

1. アプリ全体(ALB)にWAFでBasic認証かける
2. ページ開いてBasic認証突破する
3. NextJSからbackendにアプリのログインチェックのリクエスト投げて401になる（アプリのログイン失敗）
4. アプリのログイン失敗401によりBasic認証のステータスまで消滅
5. もう一度認証求められる

アプリの401を別のステータスに変えるとかすればうまくいくが、ちょっと嫌なのでそれはやらない。

まあ本番関係ないからいいか。

genzouw.com