Заголовок авторизации или требуется атрибут аутентификации

Я использую OpenRasta для построения моего REST API и хочу включить аутентификацию для выбранного количества методов в обработчике. Поэтому я поставил атрибут RequAuthentication для этих методов.

У меня есть схема аутентификации, определенная для него. Поэтому, когда я указываю заголовок авторизации в HTTP-запросе, он должен проверять подлинность. В идеальном случае он не должен проверять подлинность для методов, для которых не указан атрибут RequAuthentication. Но вместо этого он проверяет подлинность, так как я указал заголовок авторизации для запроса.

Это приемлемое поведение или оно должно проверять, назначен ли атрибут методу и проверять подлинность, даже если указан заголовок авторизации?

Если OpenRasta проверяет заголовок авторизации, что использует атрибут RequAuthentication?