HTTP状态（如果需要重新身份验证）

假设您使用的是基于令牌的身份验证，在此场景中您将使用哪种状态代码：

客户端有一个令牌，并向服务器发出请求

令牌已过期，服务器发送401未经授权

客户端发送刷新令牌

令牌无效，服务器用XXX响应

用例将是一个应用程序，它自动捕获401并使用刷新令牌发出请求。如果此令牌无效，服务器将使用401响应，则客户端将尝试使用刷新令牌请求新的访问令牌。但它应该告诉客户机，它应该使用其凭据（例如电子邮件和密码）重新进行身份验证

---

我只是想知道哪种状态代码最适合这种情况，正如规范在403禁止的情况下所说的“授权没有帮助”。

我不会让访问和刷新令牌可互换：使用访问令牌访问受保护的资源，使用刷新令牌从特殊的端点获取新的访问令牌。OpenIDConnect就是这样工作的

您将有一个HTTP请求，但HTTP代码不会是一个问题，在我看来，您将得到一个更干净的代码