返回HTTP 401并说客户端不要重复请求

我们实现了自定义身份验证。用户名和密码在请求正文中发送。如果用户或密码无效，则服务器返回HTTP 401。服务器是用C#、MVC3和.NET 4.0实现的。

我们面临的问题是，如果客户端收到401，那么它会自动重新发送相同的请求2次。实际上，这只是iOS的问题。iOS的人说，它发生在低级别，它在应用程序中失控。所以可能服务器应该能够说客户端不再发送请求。

这对我们来说是个问题，因为我们使用Active Directory，在密码无效的情况下，我们会尝试3次，而不是一次。所以账户很快就被锁定了。

我找到了这份文件，上面写着

401未经授权

客户端可以使用合适的Authorization头字段重复请求。

如何返回HTTP 401并对客户端说不再重复请求？