401 wäre aber Basic Auth Anforderung
Daher hatte ich eher an 403 gedacht.
http://de.m.wikipedia.org/wiki/HTTP-Statuscode

Die Spec sagt unter anderem (Ich hab sie nicht komplett gelesen nur den Anfang von diesem Kapitel):
"3.2.1 The WWW-Authenticate Response Header

If a server receives a request for an access-protected object, and an
   acceptable Authorization header is not sent, the server responds with
   a "401 Unauthorized" status code, and a WWW-Authenticate header as
   per the framework defined above, which for the digest scheme is
   utilized as follows …"

"and an acceptable Authorization header is not sent"
Nunja mit einem Session-Cookie[*] kann man definitiv authorisiert sein. Je nach dem welchen man hat. Aus dieser Definition kann ich nicht entnehmen dass _nur_ Basic Auth auf das zutreffen kann.

"an acceptable Authorization header" kann auch extrem vereinfacht sein, dass ein Header-Eintrag a la "X-Bla: 12345abcde" dafür genügt.

MfG
bubble

[*] Der Session-Cookie allein natürlich nicht, das wäre nur Authentication, nur das was in der Session gepseichert ist kann über die Authorization Auskunft geben