A pesar de su nombre, 401 Unauthorized significa en realidad 'no autenticado'. Indica que faltan las credenciales o no son válidas, y el servidor usa la cabecera WWW-Authenticate para señalar qué tipo de autenticación se requiere. Suele resolverse al iniciar sesión o renovar el token.
403 Forbidden significa que estás autenticado, pero no tienes permiso para acceder a ese recurso. Volver a iniciar sesión da el mismo resultado. Debes revisar los roles y permisos del usuario, la propiedad del recurso, las reglas de IP y del cortafuegos (WAF) y los ámbitos de OAuth.
En resumen, 401 significa 'no sé quién eres', mientras que 403 significa 'sé quién eres, pero no puedo permitirlo'. Por seguridad, algunos servidores devuelven 404 en lugar de 403 para ocultar la propia existencia de un recurso.