401 Unauthorized は名前と違って「認証されていない」を意味します。資格情報がない、または無効だという意味で、サーバーは WWW-Authenticate ヘッダーでどの認証が必要かを知らせます。ログインするかトークンを更新すれば解決する場合が多いです。
403 Forbidden は、認証はされているが、そのリソースにアクセスする権限がないという意味です。再度ログインしても結果は同じです。ユーザーの役割・権限、リソースの所有権、IP・ファイアウォール(WAF)のルール、OAuth のスコープを点検する必要があります。
まとめると、401 は「あなたが誰か分からない」、403 は「誰かは分かるが許可できない」です。セキュリティ上、リソースの存在そのものを隠すために 403 の代わりに 404 を返すサーバーもあります。