Apesar do nome, 401 Unauthorized na verdade significa 'não autenticado'. Indica que as credenciais estão ausentes ou inválidas, e o servidor usa o cabeçalho WWW-Authenticate para indicar que tipo de autenticação é necessária. Costuma se resolver ao fazer login ou renovar o token.
403 Forbidden significa que você está autenticado, mas não tem permissão para acessar aquele recurso. Fazer login novamente dá o mesmo resultado. É preciso verificar os papéis e permissões do usuário, a propriedade do recurso, as regras de IP e de firewall (WAF) e os escopos do OAuth.
Em resumo, 401 significa 'não sei quem você é', enquanto 403 significa 'sei quem você é, mas não posso permitir'. Por segurança, alguns servidores retornam 404 em vez de 403 para esconder a própria existência de um recurso.