الفرق بين الhttp status code 401 و 403

الخطأ 401 يُعبر عن أن العميل يفتقر في طلبه إلى إثبات هويته

بينما الخطأ 403 يُعبر عن أن العميل قد قدم إثبات هويته ولكن ليس له الحق في هذا الطلب

فمثلاً إن حاولت إرسال طلب إلى api وكان الapi يشترط وجود header بإسم Authorization يحتوي على الjwt token وقمت بإرسال الطلب دون إرفاق الheader في هذه الحالة ستقوم الapi بإرسال حالة 401

بينما إن قمت بإرسال طلب إلى الapi وحاولت الوصول إلى بيانات لا يمكن الوصول لها إلا من قِبل المدير( admin) وقمت بإرفاق header ال Authorization الذي يحتوي على الjwt خاصتك التي تحمل بياناتك وانت مُستخدم عادي ولست مدير, في هذه الحالة سترد عليك الapi بحالة 403 والتي تعني أن طلبك مفهوم ويحتوي على إثبات الهوية , ولكن هويتك غير مؤهلة لهذا الطلب

401 Unauthenticated غير موثق

أنا لا أعلم من أنت وأحتاج أن تثبت هويتك، قد يكون الخطأ له علاقة بعدم إرفاق token مع الطلب، أو لم يقم المستخدم بتسجيل الدخول

403 Unauthorized غير مخوّل

أنا أعلم من أنت ولكن غير مسموح لك بالقيام بهذا الفعل، الخطأ يكون له علاقة بقصور صلاحيات المستخدم على أمر معين، كأن يحاول الوصول إلى مورد لا يملكه ولا يملك صلاحية الاطلاع عليه (بيانات شخصية لمستخدم آخر - صور لمستخدمين آخرين)، أو منع بسبب تقني كأن يتجاوز عدد الطلبات المسموح بها في مدة زمنية محدودة