Das geht aber nicht, wenn du die 40x-er verwendest. Wenn 401 kommt, wird der Browser eine Auth-Eingabeaufforderung welchen Levels auch immer, muss ja nicht Basic-Auth sein, anzeigen.

Das ist falsch. Solange Du WWW-Authenticate weglässt(vermutlich auch, wenn man es mit Schrott füllt), kommt da bei den mir bekannten Clients nix. Das widerspricht allerdings der Spec, daher würde ich es auch nicht so machen wollen. Ich finde 403 samt Body Hinweis / Login absolut ok.