Спецификация HTTP указывает:
10.4.2 401 Несанкционированный
Запрос требует аутентификации пользователя. Ответ ДОЛЖЕН включать WWW-аутентификацию (раздел 14.47), содержащий запрос, применимый к запрашиваемому ресурсу.
Если единственная схема входа, которую я поддерживаю, это OpenID (или CAS, или токены OAuth и т.д.), что я должен помещать в это поле? То есть, как я могу указать, что клиенту необходимо предварительно аутентифицировать и создать сеанс, а не пытаться отправлять учетные данные вместе с каждым запросом?
Прежде чем ответить, "не отправляйте 401, отправьте перенаправление 3xx на страницу входа OpenID", а что касается не-HTML-клиентов? Как, например, будет ли Qaru реализовывать API, с которым может работать пользовательское программное обеспечение?