Я немного смущен различием аутентификации и разрешений DRF. Их функции кажутся очень похожими. В django-rest-framework.org, описание разрешений: «Аутентификация или идентификация сама по себе обычно недостаточна для получения доступа к информации или коду. Для этого объект, запрашивающий доступ, должен иметь авторизацию».