Или использовать стандартные:
200 OK (запрос обработан, кушать подано)
400 Bad Request (в запросе пришла чушь) или
413 Request Payload Too Large (на тот редкий случай, если в запросе пришло слишком много чуши)
403 Forbidden (нет доступа к ресурсу, отсутствует или невалиден токен авторизации или что-то из этой пьесы)
404 Not Found или
410 Gone (здесь вроде бы всё понятно, но может наступить двусмысленность -- то ли отсутствует нужный endpoint, то ли нечего возвращать. Лучше всё же реагировать с 404 на отсутствующий (с 410 -- на существовавший, но теперь отсутствующий навсегда) endpoint, а если не нашлись запрошенные данные, то по ситуации -- либо 200 с пустым ответом, либо 400 или 413)
405 Method Not Allowed (например, если вместо PUT прислали GET, ну это при классической реализации REST API; может и не понадобиться, если всё ходит через POST вместе с каким-нибудь "action":"сделай-мне-кофе")
500 Internal Server Error или
503 Service Unavailable (тут сразу всё ясно, этим обычно принято сообщать, что дела совсем плохи)
501 Not Implemented (у нас счас тут закрыто, но завтра будем ждать с 9:00 GMT. А может, и не будем, но вы держитесь)
https://en.wikipedia.org/wiki/List_of_HTTP_status_codes 
