Anders als der Name vermuten lässt, bedeutet 401 Unauthorized tatsächlich „nicht authentifiziert“. Es signalisiert, dass Anmeldedaten fehlen oder ungültig sind, und der Server gibt über den WWW-Authenticate-Header an, welche Art der Authentifizierung erforderlich ist. Oft lässt es sich durch Anmelden oder Erneuern des Tokens beheben.
403 Forbidden bedeutet, dass du zwar authentifiziert bist, aber keine Berechtigung hast, auf die Ressource zuzugreifen. Erneutes Anmelden führt zum selben Ergebnis. Du musst Benutzerrollen und -berechtigungen, den Besitz der Ressource, IP- und Firewall-Regeln (WAF) sowie OAuth-Scopes prüfen.
Kurz gesagt bedeutet 401 „ich weiß nicht, wer du bist“, während 403 „ich weiß, wer du bist, kann es aber nicht erlauben“ bedeutet. Aus Sicherheitsgründen geben manche Server 404 statt 403 zurück, um die bloße Existenz einer Ressource zu verbergen.