Проблема

Во всех апи, которые сопровождаются декоратором @api(require_auth=False), не происходит авторизации даже при желании и наличии. Т.е. все запросы с декоратором @api(require_auth=False) по умолчанию считают пользователя гостем и не пытаются его авторизовать.
https://github.com/vas3k/vas3k.club/blob/master/authn/decorators/api.py#L19

def api(require_auth=True, scopes=None):
    def decorator(view):
        @functools.wraps(view)
        def wrapper(request, *args, **kwargs):
            # check auth if needed
            if require_auth: # <-- проблема тут, если нет запроса на авторизацию, то она и не происходит
                # requests on behalf of apps (user == owner, for a simplicity)
                service_token = request.headers.get("X-Service-Token") or request.GET.get("service_token")
                if service_token:
                    request.me = user_by_service_token(service_token)

Как итог, запросы от apps с service_token`ом проходят как публичные, а значит скрывают текст поста.

Решение

Пытаться авторизовать пользователя до проверки, требуется авторизация для метода или нет. Учитывая, что попытка авторизации будет совершена только при наличии заголовков X-Service-Token/Authorize, проблем с лишними запросами не будет.
По сути я просто перенёс блок авторизации перед проверкой, нужна она вообще или нет.

До	После