Я разрабатываю RESTful API, и системы, использующие API, работают от имени пользователя.
Мы используем стандартный обмен OAuth для проверки этого пользователя, но после проверки мы можем обнаружить, что пользователь требует принять обновленное пользовательское соглашение, прежде чем какие-либо другие методы могут быть разрешены. Подумайте об iPhone и о том, как они меняют свои соглашения и требуют от пользователей принятия.
Какой код статуса лучше всего отражает эту ситуацию? Должны ли они получить 401 с дополнительной информацией. Редирект? Пользовательский код в диапазоне 400?
Очевидно, я не хочу, чтобы потребитель API думал, что у него есть действительный токен, но он должен знать, что должны быть предприняты определенные действия.
Кто-нибудь обрабатывал что-то подобное?