クライアントを認証するために使用する残りのサービスがあります。「承認に失敗しました」だけでなく、より多くの情報をクライアントに報告したい場合があります。たとえば、試行回数が多すぎてアカウントがロックされた場合、アカウントがロックされたことをクライアントに報告します。ビジネス ユース ケースのために、他の問題を報告する場合もあります。これらの問題のいずれかにより、ユーザー名/パスワードが正しい場合でも、ユーザーのログインが拒否されます。
おそらく、これらの状況では401 Authorizedを返すのはおそらく正しくないと思いますが、http ステータス コードを確認した後、どのような種類のリターン コードが適切かわかりません。たぶん403 Forbiddenですか?問題の文言をクライアントに返さなければならないことを理解してください。