Служба проверки подлинности позволяет отключить учетные записи пользователей (что-то вроде soft-delete).
Если сервер затем получает запрос аутентификации для отключенного пользователя, который в противном случае был бы действительным, должен ли сервер возвращать 401 или 403? С кодом состояния я бы вернул сообщение о том, что учетная запись была отключена.
Для быстрой справки соответствующие цитаты из HTTP/1.1 spec (выделение мое):
401 Несанкционированный
Запрос требует аутентификации пользователя. Ответ ДОЛЖЕН включать Поле заголовка WWW-Authenticate (раздел 14.47), содержащее вызов применительно к запрашиваемому ресурсу. Клиент МОЖЕТ повторить запросите с подходящим полем заголовка полномочий (раздел 14.8). Если запрос уже включил учетные данные авторизации, затем 401 ответ указывает, что разрешение было отклонено для тех Полномочия. Если ответ 401 содержит тот же вызов, что и предыдущий ответ, и пользовательский агент уже предпринял попытку аутентификацию хотя бы один раз, то пользователю ДОЛЖНО быть представлено объект, который был указан в ответе, поскольку этот объект может включить соответствующую диагностическую информацию. Проверка подлинности HTTP-доступа объясняется в разделе "HTTP-аутентификация: базовый и дайджест-доступ" Аутентификация "[43].
403 Запрещено
Сервер понял запрос, но отказывается его выполнять. Авторизация не поможет, а запрос НЕ ДОЛЖЕН повторяться. Если метод запроса не был HEAD, и сервер хочет сделать публично, почему запрос не был выполнен, он СЛЕДУЕТ описать причина отказа в организации. Если сервер не желает сделать эту информацию доступной для клиента, код состояния 404 (Не найдено).