Mã thông báo đã hết hạn - API JSON REST - Mã lỗi

Tôi có một API REST JSON. Có một cái bắt tay sẽ cung cấp cho bạn một mã thông báo có giá trị trong 15 phút. Tất cả các cuộc gọi bạn thực hiện trong vòng 15 phút đó sẽ hoạt động tốt. Sau 15 phút, tôi trả về một đối tượng lỗi (bao gồm mã, thông báo, thành công = sai) nhưng tôi cũng tự hỏi tôi nên trả lại Mã lỗi HTTP nào? Và việc sử dụng mã lỗi HTTP có làm rối một số máy khách nhất định không? (HTML5, iPhone, Android). Điều gì được coi là phương pháp hay nhất trong kịch bản này?

Bạn nên trả lại 401 UnauthorizedMã trạng thái. Bạn cũng có thể cung cấp siêu phương tiện để thiết lập lại mã thông báo

Hãy nghĩ về những gì xảy ra trong một ứng dụng web. Bạn đến nói một trang web ngân hàng. Nếu không được xác thực, nó sẽ đưa bạn đến trang đăng nhập. Sau đó, bạn đăng nhập và bạn có thể sử dụng một thời gian. Sau đó, nó hết hạn và chu kỳ lặp lại.

Chỉ là một suy nghĩ.

theo thông số kỹ thuật rfc6750 - "Khung cấp phép OAuth 2.0: Sử dụng mã thông báo mang", https://tools.ietf.org/html/rfc6750 , p.8, phần 3.1, máy chủ tài nguyên phải trả về 401:>

invalid_token Mã thông báo truy cập được cung cấp đã hết hạn, bị thu hồi, không đúng định dạng hoặc không hợp lệ vì các lý do khác. Tài nguyên NÊN phản hồi bằng mã trạng thái HTTP 401 (Không được phép). Máy khách CÓ THỂ yêu cầu mã thông báo truy cập mới và thử lại yêu cầu tài nguyên được bảo vệ.

FWIW Facebook sử dụng 400 với phản hồi JSON tùy chỉnh. Cá nhân tôi muốn 401 với phản hồi JSON tùy chỉnh.

Đây là phần phản hồi của FB:

{
  "error": {
    "message": "Error validating access token: Session has expired on Jul 17, 2014 9:00am. The current time is Jul 17, 2014 9:07am.",
    "type": "OAuthException",
    "code": 190,
    "error_subcode": 463
  }
}