Scheinbar sind von diesem Problem auch OAuth2-geschützte Methoden betroffen.
Mit einem abgelaufenen Token liefert user/info als Meldung:
{
"error_type": "oauth2",
"error": "access_denied",
"error_description": "The resource owner or authorization server denied the request. Access token is invalid"
}
Als HTTP-Statuscode kommt aber 200. Genauso wenn man gar keine Credentials angibt. Hier sollte eigentlich ein 401 oder 403 kommen.
Mit den meisten Frameworks ist das tatsächlich gar nicht so leicht zu erkennen. Letztendlich muss man so die Antwort immer 2x parsen, weil man sich nie sichern sein kann, ob vielleicht doch ein Error als Antwort kam.
Sprache wählen 
User 
Bei einem Fehler bekomme ich trotzdem 200 zurück. Das führt bei den meisten Frameworks leider dazu, dass gar kein Fehler erkannt wird.
Könnte das möglicherweise behoben werden? Das dürfte bei bestehenden Anwendungen basierend auf der API eigentlich nicht zu Problemen führen.
#