Hallo wahsaga.

"Authorization will not help and the request SHOULD NOT be repeated."
[...]
Wenn der Nutzer seine Login-Daten per Formular schickt, ist es aber nicht mehr der gleiche Request.

Guter Punkt.

oder gibt es einen anderen Status, der hier besser passt?
[...]
Vielleicht noch ein 409, "Conflict":

Der scheint zwar auch relativ gut zu passen, ist aber leider schon zu speziell. Außerdem hat der Status der Benutzeranmeldung doch eigentlich nur entfernt (wenn überhaupt) mit dem Status der Ressource zu tun, oder?

In so fern stimme ich Johannes eigentlich zu - ein simpler 200er macht hier auch nix kaputt.

Kaputt macht er sicher nichts, nur schicke ich an der Stelle dann für ein und die selbe URI unterschiedliche Inhalte und das möchte ich vermeiden. Deshalb hätte ich gerne einen anderen Status als 200, um zu kennzeichnen, dass das Formular zur Anmeldung nicht der eigentliche Inhalt ist, sondern dass der ausgelieferte Inhalt auf die fehlende Berrechtigungen zurückzuführen ist.

Gruß
lucid