Как работает authentication в DRF?

DRF поддерживает несколько схем: SessionAuthentication (cookie, для browsable API), TokenAuthentication (простой token в header), BasicAuthentication (логин:пароль, только для дебага). JWT — через djangorestframework-simplejwt: access + refresh токены. Кастомная: наследуй BaseAuthentication, переопредели authenticate(). DEFAULT_AUTHENTICATION_CLASSES в settings. Authentication возвращает (user, auth) или None. Можно комбинировать несколько — DRF пробует по порядку.