А вы респонс читали то? Может там прилетает 401я от сервера? Вряд ли у вас сайт настолько уязвим, что файлы можно стягивать без авторизации. Лично у нас, чтобы стянуть файл, надо вначале получить auth token, а потом отправлять его вместе со всеми реквестами в хэдере.
Респонс возвращает 200 OK
При переходе по ссылке которая используется в тесте, не авторизованный пользователь получает список заголовков, среди которого отсутствует Content-Disposition. Т.е такое ощущение, что в тесте происходит выход из сессии, а затем попытка получить имя файла, но этого просто не может быть.
Ну так все очевидно. Вы не можете вытянуть файл, потому что не авторизованы. И как уже сказали выше, тут нет никакой связи между тем, что происходит в браузере и “ручным” обращением к сервису. Спросите у девелоперов, как получить auth token, и с каким ключом надо передать его в качестве хэдера запросу о получении файла.
Это будет работать далеко не для всех систем. У нас, к примеру, стоит CSRF протекшен. Вначале отсылается хэндшейк запрос для генерации уникального id и куки. Все это дело отправляется auth сервису, который отдает токен. И только после этого можно обращаться к другим сервисам, отсылая csrf и auth хэдеры + куки.