Hakuna matata!

Warum sollte es die Ressource geben, für einen der sich nicht authentifiziert hat und nicht autorisiert ist?

Das ist ein Denkfehler. Die bloße Existenz einer Ressource hängt nicht davon ab, ob sie gesehen werden kann oder nicht. Nordkorea existiert, auch wenn ich keine Einreisegenehmigung erhalte. Genauso verursacht der umfallende Baum im Wald Schallwellen, auch wenn diese von niemanden gehört werden.

Dein Vergleich hinkt. Wenn URLs geroutet werden, existiert eine Ressource nur, wenn sie in der Routing-Table steht. Das ist die Verbindlichkeit: Wenn Korea nicht im Fahrplan steht, fährt da auch kein Zug dahin.

Es gibt aber noch eine Sache und die ist richtig böse: Content-Negotiation. D.h., Benutzer der Gruppe 'dogs' sehen auf der Ressource /animals nur Schafe, nicht angemeldete Benutzer hingegen sehen Kühe.

In beiden Fällen liefert ein Request auf /animals den Status 200. Was sonst.

MfG