Код HTTP 401 Unauthorized означает, что запрос требует аутентификации — пользователь не авторизован, либо не предоставил корректные учетные данные. Сервер сообщает, что нужно пройти процедуру входа.

Код 403 Forbidden означает, что сервер понял запрос и аутентификация прошла успешно, но у пользователя нет прав доступа к запрашиваемому ресурсу. То есть доступ запрещён независимо от аутентификации.

Пример:

401 — пользователь не вошёл в систему или токен истёк.
403 — пользователь вошёл, но пытается получить доступ к чужим данным или запрещённой странице.

В чем разница между кодами 401 Unauthorized и 403 Forbidden?