Какой http-код я должен ответить, если я не могу найти пользователя в базе данных и, следовательно, не могу его аутентифицировать.Http Отказ: не удается аутентифицировать, какой код?
лично мне не нравится, как мысль о возвращении 404.
Я бы рекомендовал либо 401 или 403 0,404 не найден, который может быть и потому, что ресурс не доступен даже проверка подлинности пользователя. Ref Standard Error Code
401 Несанкционированный код состояния HTTP для ошибок аутентификации. И это все: это для аутентификации, а не авторизации. Получение ответа 401 - это сервер, сообщающий вам: «вы не аутентифицированы - либо не аутентифицированы вообще, либо не аутентифицированы неправильно, но повторите проверку подлинности и повторите попытку». Чтобы помочь вам, он всегда будет включать заголовок WWW-Authenticate, который описывает как аутентифицироваться.
401 Несанкционированный – Abhitalks