Озверина повторите запрос через 10 секунд - это что:? Тоже авторизация?это может быть и "503 Server Busy" в зависимости от. Вот смотрите какой мой взгляд на обсуждаемый рейтлимит, я определяю авторизация это или нет по довольно простому критерию: можно это свести к условным пользователям и группам или нет, т.е. есть у нас ресурс, мы говорим: пользователи таких-то групп имеют туда доступ, а пользователи таких не имеют (исключающие права доступа - все равно права доступа), теперь делаем триггер, который при превышении лимита либо исключает пользователя из "хорошей" группы либо наоборот включает в "плохую" - с точки зрения тарификации такая реализация имеет место быть, а это значит, что тарификация свелась с авторизации.

ОзверинНо мы обсуждаем, что в 403 может быть заложена НЕ только авторизация. Об этом ясно сказано.С вашей стороны пример-то будет, где регламентируется 403 и это никаким образом не похоже на авторизацию? А то пока как-то все про права доступа и квоты, а бизнес-логика на 403 где?

ОзверинАндрей Панфилов, причем тут бизнес логика? Права доступа - тоже часть бизнес логики, на всякий пожарный, или может ею являться.проверка возможности доступа - это авторизация, в HTTP для неуспешной авторизации выделен статус 403, к моему примеру он никак не подходит: если даже и рассматривать подтверждение действия как авторизацию, то здесь клиент должен авторизовывать действие, а не сервер, т.е. сервер должен обратиться к клиенту, а не наоборот.

Озверинвы недавно сказали, что невозможность доступа(сервер занят) - надо бе вернуть другой код. Невозможность доступа может быть по миллиону причин, отличных от авторизации, потому 403й и выделен, И ИМЕНО ПОТОМУ так и описан в стандартею
ну опять, для "Server Busy" разработчики протокола решили сделать выделенный статус, просто потому что чрезмерная нагрузка на сервер может быть вполне инфраструктурной проблемой, и запрос до приложения, которое может доступы проверять, может даже не дойти.

Озверинне понимаю, почему вы решили повторить в сотый раз. Я как бе на этом по этому вопросу сверну дискуссию, ибо вы делаете ее бессмысленной.Да толку здесь обсуждать что-либо никакого нет, набор кодов HTTP столь скуден, что натягивать на них бизнесовое API смысла нет никакого, зато имеем кучу ложных срабатываний: красные сообщения в браузере, неправильные логи, клиент должен парсить пейлоад, прилетающий из разных источников и пр.