401与403的区别

401未授权有一个问题，HTTP状态码验证错误。就是这样:它用于身份验证，而不是授权。收到401响应时，服务器会告诉您，“您没有经过身份验证——要么根本没有经过身份验证，要么验证不正确——但是请重新验证并重试。”为了帮助您，它将始终包含一个描述如何进行身份验证的WWW-Authenticate头。

这通常是由web服务器而不是web应用程序返回的响应。
这也是暂时的;服务器要求您再试一次。
因此，对于授权，我使用403禁止响应。它是永久性的，它与我的应用逻辑相关联，它比401更具体。
接收到403响应时，服务器会告诉您，“对不起。我知道你是谁——我相信你说的你是谁——但是你没有访问这个资源的权限。也许如果你好好地请求系统管理员，你会得到许可的。但在你的困境改变之前，请不要再来打扰我。”
总之，应该使用401未经授权的响应来进行丢失或错误的身份验证，然后在用户通过身份验证但未被授权对给定资源执行请求的操作时，应该使用403禁止的响应。
也就是说，403的响应说明请求已经与服务端做了交互(身份验证通过)，但是401还没跨过服务端门口就吃了闭门羹(因为身份验证有误)