Я прочитал Какой код ответа HTTP-статуса я должен использовать, если в запросе отсутствует требуемый параметр?, но он специально не спрашивал о заголовках, и не казалось чтобы быть консенсусом.
Контекст этого вопроса предполагает успешную аутентификацию. В настоящее время я предпочитаю либо 400 (хотя это не так, потому что на самом деле это не случай "неправильного синтаксиса" ) или 403. Учитывая описание 403:
Сервер понял запрос, но отказывается его выполнять. Авторизация не поможет, и запрос НЕ ДОЛЖЕН повториться. Если метод запроса не был HEAD, и сервер хочет обнародовать почему запрос не был выполнен, СЛЕДУЕТ описать причину для отказа в сущности.
Это имеет для меня наибольшее значение.
Может кто-нибудь, пожалуйста, просветит меня? Спасибо.