Estou implementando um módulo simples de registro / login.

Ao testar credenciais do usuário, começo a pensar qual código de status HTTP será apropriado para a situação se um usuário enviar uma solicitação com credenciais incorretas.

No começo, eu pensei que 401 não autorizado seria um bom código de status, mas parece que será melhor usá-lo quando um usuário estiver tentando obter algum recurso sem autorização.

Depois, mudei para 409 Conflict

Esse código é permitido apenas em situações em que se espera que o usuário possa resolver o conflito e reenviar a solicitação.

Então, amigos, por favor, me dê um conselho, qual código de status deve ser usado.