Hakuna matata!
Warum sollte es die Ressource geben, für einen der sich nicht authentifiziert hat und nicht autorisiert ist?
Das ist ein Denkfehler. Die bloße Existenz einer Ressource hängt nicht davon ab, ob sie gesehen werden kann oder nicht. Nordkorea existiert, auch wenn ich keine Einreisegenehmigung erhalte. Genauso verursacht der umfallende Baum im Wald Schallwellen, auch wenn diese von niemanden gehört werden.
Es hat aber auch einen praktischen Nutzen, hier den aussagekräftigeren 401-Status-Code anstatt 404 zu benutzen: Angenommen ein Arbeitskollege schickt mir einen Link zu einer unserer Kundenseiten, und ich bekomme nur eine 404-Seite zu sehen, dann würde ich meinem Kollegen die Rückmeldung geben, dass er mir einen kaputten Link geschickt hat. Dann würden wir uns eine Weile darüber wundern, wieso der Link bei ihm funktioniert und bei mir nicht. Irgendwann stoßen wir vielleicht auf die Ursache, dass man eingeloggt sein muss, um die Ressource sehen zu können. Eine 401-Fehlermeldung hätte uns schneller auf den richtigen Dampfer gebracht.
“All right, then, I'll go to hell.” – Huck Finn