Smalltalk/X подошел в Reddit на днях. Это выглядело довольно хорошим.
Обычно вы отправляете 401, если клиент может аутентифицироваться и решить проблему, но поскольку вы не предоставляете способ аутентификации в API, я ' d предлагает вместо этого возвращать ошибку 403 (запрещено). Это не потребует заголовка и укажет клиенту, что он не может получить доступ к службе.
Вернуть что-то вроде этого:
HTTP/1.1 401 Unauthorized
Location: https://example.com/auth-app/login