API的响应需要完全依赖于HTTP代码吗，比如找不到，则返回404，还是统一都返回200好些呢？

响应主体一样，如下：

｛code: 1001, msg:'资源不存在',request:'GET /user/1'｝

返回404，是更符合规范吗，目前觉得统一200会好些，调用方便，统一根据响应主体中的code判断就可以了。

另：

现在有完全基于API（RESTful）的应用吗，即客户端(浏览器)的操作都是通过ajax调用接口实现。

如果这样去实现，身份验证该如何做呢？ 类似：

POST /sessions 创建一个会话，返回一个access_token，接下来的请求，都将这个token放在header中，这样是否可行？

如果这样去做，我需要注意哪些问题或会遇到哪些问题呢，还望赐教