hi,

Wenn der Nutzer nicht berechtigt ist, auf eine Ressource zuzugreifen – dann antworte mit einem *passenden* Statuscode – entweder 403 Forbidden, oder 401 Unauthorized (letzteres nur wenn auch tatsächlich sowas wie HTTP Auth verwendet wird).

Bitte nicht verwechseln: Authentifizierung, Autorisierung

Einen Header für nicht autorisierte Benutzer gibt es nicht. Es gibt jedoch einen Header für nicht authentifizierte Benutzer.

Es ist möglich, den Request auf eine autorisierte Ressource an eine dem Request vorhergehende Autentifizierung zu koppeln und für Letzteres einen dementsprechenden Header zu senden (Auth Basic). Es ist jedoch nicht zwingend vorgeschrieben, Auth Basic zu benutzen.

D.h., wenn es eine Ressource gibt, die nur einem dafür autorisierten Benutzerkreis zugänglich sein soll, musst Du das nicht mit einem Auth Basic Header kundtun.

Horst