@rayslava @skobkin а кто должен сгенерировать 401?
Я понимаю так (я могу ошибаться), если аутентификацию проверяет сервис и аутентификация не предоставлена/не прошла, сервис должен послать нахер. Почему для этого не использовать код ошибки, который существует, при том, что это именно ошибка обработки запроса - ресурс закрыт аутентификацией?
В то время как 200 сообщает о том, что запрос успешно обработан, то есть выполнена некоторая полезная нагрузка.