Токен закінчився - JSON REST API - Код помилки

У мене є JSON REST API. Існує рукостискання, яке дасть вам маркер, дійсний протягом 15 хвилин. Усі дзвінки, які ви робите протягом цих 15 хвилин, повинні працювати нормально. Через 15 хвилин я повертаю об'єкт помилки (включає код, повідомлення, успіх = false), але мені також цікаво, який код помилки HTTP я повинен повернути? І чи заплутає код помилки HTTP певних клієнтів? (HTML5, iPhone, Android). Що вважається найкращою практикою у цьому сценарії?

Вам слід повернути 401 Unauthorizedкод стану. Ви можете додатково надати гіпермедіа, щоб знову встановити маркер

Подумайте, що відбувається у веб-програмі. Ви скажете, що це банківський сайт. Якщо не підтвердити, він перешле вас на сторінку входу. Потім ви входите в систему, і вам добре піти на деякий час. Потім він закінчується, і цикл повторюється.

Просто думка.

відповідно до специфікації rfc6750 - "Структура авторизації OAuth 2.0: використання маркера носія", https://tools.ietf.org/html/rfc6750 , стор. 8, розділ 3.1, сервер ресурсів повинен повернути 401:>

invalid_token Наданий маркер доступу закінчився, анульований, неправильно сформований або недійсний з інших причин. Ресурс ПОВИНЕН відповісти кодом стану HTTP 401 (неавторизований). Клієнт МОЖЕ запитати новий маркер доступу та повторити спробу запиту захищеного ресурсу.

FWIW Facebook використовує 400 із користувацькою відповіддю JSON. Я особисто віддав би перевагу 401 із користувацькою відповіддю JSON.

Ось тіло відповіді FB:

{
  "error": {
    "message": "Error validating access token: Session has expired on Jul 17, 2014 9:00am. The current time is Jul 17, 2014 9:07am.",
    "type": "OAuthException",
    "code": 190,
    "error_subcode": 463
  }
}