Estoy construyendo una API en Yii2 y he agregado CORS y autenticación. Esto funciona bien para todas las acciones Crear / Leer / Actualizar / Eliminar, pero no para acciones personalizadas. ¿Alguien ha experimentado esto antes?

Administrador de URL:

['class' => 'yii\rest\UrlRule', 'controller' => 'api/v1/user', 'pluralize' => false],

Comportamientos del controlador:

public function behaviors()
{
    return ArrayHelper::merge([
            'corsFilter' => [
                'class' => Cors::className(),
            ],
            [
                'class' => HttpBearerAuth::className(),
                'except' => ['options',
                             'login',
                ],
            ],
        ], parent::behaviors()
    );
}

Como se mencionó, las acciones para CRUD están bien, pero una acción personalizada comohttp://domain.com/user/test responderá con un401 Unauthorised respuesta.

¿No es posible hacer que CORS y Auth trabajen juntos en acciones personalizadas?

Editar: debo agregar que el problema (401) ocurre solo cuando un navegador haceOPTIONS solicitud. Las solicitudes normales (curl, cartero) no se ven afectadas. El problema parece ocurrir con la combinación RESTful, Cors, Auth.