Якщо "помилка перевірки" означає, що в запиті є якась помилка клієнта, тоді використовуйте HTTP 400 (поганий запит). Наприклад, якщо URI повинен мати дату ISO-8601, і ви виявите, що він у неправильному форматі або посилається на 31 лютого, ви повернете HTTP 400. Дітто, якщо ви очікуєте, що добре сформований XML в тілі сутності та вона не може розібратися.
(1/2016): За останні п’ять років більш специфічний HTTP 422 для WebDAV (непереробний об'єкт) став дуже розумною альтернативою HTTP 400. Дивіться, наприклад, його використання в API JSON . Але зауважте, що HTTP 422 не перетворив його на HTTP 1.1, RFC-7231 .
Веб-сервіси RESTful Річардсона та Рубі містять дуже корисний додаток про те, коли використовувати різні коди відповідей HTTP. Вони кажуть:
400 ("Поганий запит")
Важливість: Висока.
Це загальний статус помилки на стороні клієнта, який використовується, коли жоден інший код помилки 4xx не підходить. Він зазвичай використовується, коли клієнт подає представлення разом із запитом PUT або POST, і представлення у правильному форматі, але це не має сенсу. (стор. 381)
і:
401 ("Несанкціоноване")
Важливість: Висока.
Клієнт намагався працювати на захищеному ресурсі, не надаючи належних даних для автентифікації. Можливо, він надав неправильні облікові дані або взагалі відсутні. Мандатними даними можуть бути ім’я користувача та пароль, ключ API або маркер автентифікації - незалежно від того, яку службу очікує. Клієнт звичайно робить запит на URI і приймає 401, щоб він знав, які саме дані слід надіслати та в якому форматі. [...]