Berbeda dengan namanya, 401 Unauthorized sebenarnya berarti 'belum terautentikasi'. Ini menandakan kredensial tidak ada atau tidak valid, dan server menggunakan header WWW-Authenticate untuk memberi tahu jenis autentikasi yang diperlukan. Sering kali teratasi begitu Anda login atau memperbarui token.
403 Forbidden berarti Anda sudah terautentikasi, tetapi tidak punya izin untuk mengakses sumber daya tersebut. Login ulang memberi hasil yang sama. Anda perlu memeriksa peran dan izin pengguna, kepemilikan sumber daya, aturan IP dan firewall (WAF), serta cakupan OAuth.
Singkatnya, 401 berarti 'saya tidak tahu siapa Anda', sedangkan 403 berarti 'saya tahu siapa Anda, tetapi tidak bisa mengizinkan'. Demi keamanan, sebagian server mengembalikan 404 alih-alih 403 untuk menyembunyikan keberadaan sumber daya itu sendiri.