编辑：RFC2616已过时，请参阅RFC9110。

401未授权：

如果请求已经包括授权凭证，则401响应指示已拒绝对这些凭证的授权。

403禁止：

服务器理解该请求，但拒绝履行该请求。

从您的用例来看，用户似乎没有经过身份验证。我会返回401。

其他答案缺少的是，必须理解RFC 2616上下文中的认证和授权仅指RFC 2617的HTTP认证协议。HTTP状态代码不支持RFC2617以外的方案进行认证，并且在决定是否使用401或403时不考虑。

Brief和Terse

未授权表示客户端未通过RFC2617认证，服务器正在启动认证过程。Forbidden表示客户端已通过RFC2617认证且没有授权，或者服务器不支持请求资源的RFC2617。

也就是说，如果您拥有自己的登录过程，并且从不使用HTTP身份验证，那么403始终是正确的响应，而401永远不应该使用。

详细和深入

来自RFC2616

10.4.2 401未授权请求需要用户身份验证。响应必须包括WWW Authenticate报头字段（第14.47节），该字段包含适用于所请求资源的质询。客户端可以使用适当的授权头字段重复请求（第14.8节）。

and

10.4.4 403禁止服务器理解该请求，但拒绝履行。授权不会有帮助，不应重复该请求。

首先要记住的是，本文档中的“身份验证”和“授权”特指RFC 2617中的HTTP身份验证协议。它们不引用您可能使用登录页面等创建的任何滚动您自己的身份验证协议。我将使用“登录”来引用除RFC2617以外的方法进行的身份验证和授权

因此，真正的区别不在于问题是什么，甚至不在于是否有解决方案。区别在于服务器希望客户端接下来做什么。

401指示无法提供资源，但服务器正在请求客户端通过HTTP身份验证登录，并已发送回复标头以启动进程。可能存在允许访问资源的授权，也可能没有，但让我们尝试一下，看看会发生什么。

403指示不能提供资源，并且对于当前用户来说，没有办法通过RFC2617来解决这一问题，也没有尝试的意义。这可能是因为已知没有足够的认证级别（例如，由于IP黑名单），但也可能是因为用户已经认证且没有权限。RFC2617模型是一个用户，一个证书，因此可以忽略用户可能具有可被授权的第二组证书的情况。它既不暗示也不暗示某种登录页面或其他非RFC2617认证协议可能有帮助，也可能没有帮助，这超出了RFC2616标准和定义。

编辑：RFC2616已过时，请参阅RFC7231和RFC7235。

我对它的看法与公认的答案略有不同。

当认证失败时返回403，当授权失败时返回401，这似乎更符合语义和逻辑。

我的理由如下：

当您请求认证时，您有权提出该请求。你需要这样做，否则一开始就没有人能够通过认证。

如果您的身份验证失败，您将被禁止，这是有意义的。

另一方面，被禁止者也可以申请授权，但假设您已通过身份验证，但无权访问特定端点。返回401 Unauthorized似乎更有意义。

对于失败的身份验证尝试，Spring Boot的安全性返回403

他们未登录或不属于正确的用户组

你陈述了两种不同的情况；每种情况都应有不同的反应：

如果他们根本没有登录，您应该返回401未授权如果他们已登录但不属于正确的用户组，则应返回403禁止

根据收到的对此答案的评论，请注意RFC：

如果用户未登录，他们将被取消身份验证，其HTTP等效值为401，在RFC中被错误地称为“未授权”。如第10.4.2节所述，401未经授权：

“请求需要用户身份验证。”

如果您未经认证，401是正确的响应。然而，如果您未经授权，在语义正确的意义上，403是正确的响应。

401响应是指以下之一：

缺少访问令牌。访问令牌已过期、吊销、格式错误或无效。

403响应另一方面意味着访问令牌确实有效，但用户没有执行所请求的操作的适当权限。

其含义如下：

401：用户未（正确）验证，资源/页面需要验证

403:用户的角色或权限不允许访问请求的资源，例如，用户不是管理员，请求的页面是管理员的。

注意：从技术上讲，403是401的超集，因为给未经认证的用户403也是合法的。无论如何，区分更有意义。