怎么理解区分HTTP状态码401和403

401 Unauthorized

• 状态码401标识 认证 失败表示请求未通过身份验证或身份验证失败。
• 通常由web相反，服务器返回web应用。
• 场景：token失效、token缺失、token伪造，导致服务器无法识别身份。

403 Forbidden

• 状态码403表示 授权 失败通常意味着用户已通过身份验证，但没有访问或操作给定资源的权限。
• 通常由web应用程序返回。
• 场景：用户登录成功，但没有读写权限。

总结

401和403主要的区别是，

• 侧重点不同：401着重于 认证 ，403着重于 授权
• 返回的对象不同：401通常由web服务器返回，403由web应用返回
• 不同场景：401指示用户未经授权、身份验证403指示用户可能已通过身份验证，但缺少指定的权限。