я не соглашусь, не авторизован это как раз прикладной уровень. потому и написал, что оно сразу течет.
если говорит про machine2machine, то надо сразу брать jsonrpc, там 200 значит "запрос принят", безальтернативно, что и надо
Нет, это не прикладной уровень. Это - протёкшая абстракция на уровень ниже. Как минимум, потому, что требует иного обработчика на стороне клиента. Если вдруг придётся поменять транспорт с http на любой другой протокол, то подобная ошибка проектирования приведёт к необходимости портировать всю подсистему авторизации.