我想说，从技术上讲，这可能不是HTTP故障，因为资源(假设)是有效指定的，用户是经过身份验证的，并且没有操作故障(然而，即使规范也包括一些保留代码，如402 Payment Required，严格来说也不是与HTTP相关的，尽管在协议级别上可能是可取的，这样任何设备都可以识别这种情况)。

如果确实是这样，我将在响应中添加一个带有应用程序错误的状态字段，例如

<status><code>4</code><message>日期范围无效</message></status>

在记录HTTP 1.1的RFC 2616中有关于这些错误语义的更多信息。

就我个人而言，我可能会使用400个坏请求，但这只是我个人的观点，没有任何事实支持。

如果你正在验证数据，而数据不是，根据定义的规则，最好发送422(不可处理实体)，这样发送方就会明白他违反了约定的规则。

坏请求是语法错误。有些工具，如postman，会提前显示语法错误。

如果“验证失败”意味着请求中有一些客户端错误，那么使用HTTP 400(坏请求)。例如，如果URI应该具有ISO-8601日期，而您发现它的格式错误或指向2月31日，那么您将返回HTTP 400。同样，如果您希望实体主体中有格式良好的XML，但它无法解析。

(1/2016):在过去的五年里，WebDAV更具体的HTTP 422(不可处理实体)已经成为HTTP 400的一个非常合理的替代方案。参见它在JSON API中的使用实例。但是请注意，HTTP 422还没有进入HTTP 1.1, RFC-7231。

Richardson和Ruby的RESTful Web服务包含了一个关于何时使用各种HTTP响应代码的非常有用的附录。他们说:

400(“错误请求”) 重要性:高。 这是一般的客户端错误状态，当没有其他合适的4xx错误代码时使用。它通常用于客户端提交一个表示和 PUT或POST请求，并且表示形式是正确的格式，但是它没有使 任何有意义的。(381页)

and:

401(“未经授权的”) 重要性:高。 客户端试图操作受保护的资源，但没有提供适当的身份验证凭据。它可能提供了错误的凭证，或者根本没有提供。 凭证可以是用户名和密码、API密钥或身份验证 令牌——不管服务期望什么。这对客户来说是很常见的 一个URI请求，并接受401，这样它就知道要发送什么样的凭据 以及什么样的格式。[…]

我想说，从技术上讲，这可能不是HTTP故障，因为资源(假设)是有效指定的，用户是经过身份验证的，并且没有操作故障(然而，即使规范也包括一些保留代码，如402 Payment Required，严格来说也不是与HTTP相关的，尽管在协议级别上可能是可取的，这样任何设备都可以识别这种情况)。

如果确实是这样，我将在响应中添加一个带有应用程序错误的状态字段，例如

<status><code>4</code><message>日期范围无效</message></status>

你说的“验证失败”到底是什么意思?你在验证什么?你指的是语法错误(比如格式错误的XML)吗?

如果是这样的话，我认为400个坏请求可能是正确的，但如果不知道你正在“验证”的是什么，就不可能说出来。