Estoy implementando un módulo simple de registro / inicio de sesión.

Al probar las credenciales de usuario, empiezo a pensar qué código de estado HTTP será apropiado para la situación si un usuario envía una solicitud con credenciales incorrectas.

Al principio, pensé que 401 no autorizado sería un buen código de estado, pero parece que será mejor usarlo cuando un usuario intenta obtener algún recurso sin autorización.

Después, cambié a 409 Conflict

Este código solo se permite en situaciones en las que se espera que el usuario pueda resolver el conflicto y volver a enviar la solicitud.

Entonces, amigos, por favor deme un consejo, qué código de estado se debe usar.