Hallo lucid,
401 Unauthorized hatte ich auch gesehen, aber der scheint mir ausschließlich für die HTTP Authentication vorgesehen zu sein...
Beide sind für die HTTP-Authentifizierung vorgesehen. Wenn du dies selber regelst, z.B. mit Sessions, verwende einfach wie bei anderen Seiten auch 200 OK.
Schöne Grüße,
Johannes