401:您需要HTTP基本身份验证才能看到这一点。

如果用户只需要使用您站点的标准HTML登录表单登录，401将不合适，因为它特定于HTTP基本身份验证。

403:此资源存在，但您无权查看它，HTTP基本身份验证也无济于事。

我不建议使用403来拒绝访问/包含之类的内容，因为就web而言，这些资源根本不存在，因此应该使用404。

换句话说，403表示“此资源需要HTTP基本身份验证以外的某种身份验证（例如使用网站的标准HTML登录表单）”。

https://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html#sec10.4.2

你又是谁？？（程序员走进一个没有ID或ID无效的酒吧）

403：太好了，又是你。我盯着你了。走吧，离开这里。（程序员走进一家86岁的酒吧）

我认为重要的是要考虑到，对于浏览器，401会启动一个验证对话框，让用户输入新的凭据，而403不会。浏览器认为，如果返回401，那么用户应该重新验证。因此401代表无效认证，而403代表缺乏许可。

以下是在这种逻辑下的一些情况，在这些情况下，验证或授权会返回错误，重要短语用粗体表示。

资源需要身份验证，但未指定凭据。

401:客户端应指定凭据。

指定的凭据格式无效。

400:这既不是401也不是403，因为语法错误应该总是返回400。

指定的凭据引用的用户不存在。

401:客户端应指定有效凭据。

指定的凭据无效，但请指定有效的用户（如果不需要指定的用户，请不要指定用户）。

401：同样，客户端应该指定有效的凭据。

指定的凭据已过期。

401:这实际上与通常的无效凭据相同，因此客户端应该指定有效凭据。

指定的凭据完全有效，但不足以满足特定资源的需要，尽管具有更多权限的凭据也可能。

403:指定有效凭据不会授予对资源的访问权限，因为当前凭据已经有效，但只有不具有权限。

无论凭据如何，都无法访问特定资源。

403:这与凭据无关，因此指定有效凭据没有帮助。

指定的凭据完全有效，但特定客户端被阻止使用它们。

403：如果客户端被阻止，指定新凭据将不会有任何作用。

丹尼尔·欧文（Daniel Irvine）的明确解释[原始链接]：

401 Unauthorized（401未授权）存在问题，这是身份验证错误的HTTP状态代码。这就是它：它用于身份验证，而不是授权。收到401响应时，服务器会告诉你，“你不是已验证–完全未验证或已验证不正确–但请重新验证并重试。”为了帮助您，它将始终包含一个WWW Authenticate标头，描述如何以进行身份验证。这是通常由web服务器而不是web返回的响应应用这也是非常暂时的；服务器要求您尝试再一次因此，为了获得授权，我使用403 Forbidden响应。它是永久性的，它与我的应用程序逻辑有关，而且更具体响应大于401。收到403响应时，服务器会告诉你：“对不起，我知道你是谁——我相信你说的你是谁，但你只是没有访问此资源的权限。也许如果你问系统管理员很好，你会得到许可的。但请不要打扰直到你的困境改变。”总之，401未经授权的响应应用于缺失或认证错误，应使用403禁止响应之后，当用户经过身份验证但未被授权对给定资源执行请求的操作。

另一种很好的图片格式，说明如何使用http状态代码。

其含义如下：

401：用户未（正确）验证，资源/页面需要验证

403:用户的角色或权限不允许访问请求的资源，例如，用户不是管理员，请求的页面是管理员的。

注意：从技术上讲，403是401的超集，因为给未经认证的用户403也是合法的。无论如何，区分更有意义。

401未经授权：我不知道你是谁。这是一个身份验证错误。403禁止：我知道你是谁，但你没有访问此资源的权限。这是一个授权错误。