Para impedir que usuários que não efetuaram login chamem minha função lambda por meio do AWS API Gateway, estou usando a solução lambda do Custom Authorizer.

Se a solicitação for autorizada (200) e eu receber uma resposta do chamado lambda, tudo funcionará bem e eu recebo oAccess-Control-Allow-Origin cabeçalho.

Mas se a solicitação não for autorizada, recebo uma 401 que não possuiAccess-Control-Allow-Origin , impedindo, portanto, a leitura do status 401 da resposta e redirecionando o usuário para a página de logon.

Acredito que isso ocorre porque o mecanismo de Autorização Personalizada não sabe que a solicitação precisa usar o CORS. Alguém sabe que esse é realmente o problema? Você conhece alguma solução possível?