security - 如果页面被 Java EE 8 API 安全性禁止，则错误 404 而不是 403

Question

我使用 @CustomFormAuthenticationMechanismDefinition 向用户询问登录名和密码。当不允许用户查看 JSF 页面时，他们会收到 404 错误代码。不应该是403错误代码吗？