Как использовать коды состояния 401 и 403 для защиты ресурсов в API?

Код состояния 401 (Unauthorized) используется, когда есть проблемы с учётными данными клиента. blog.restcase.com Ответ с этим кодом указывает, что клиент попытался получить доступ к защищённому ресурсу без необходимых разрешений. blog.restcase.com Возможные причины: предоставленные учётные данные неверны или их нет вовсе. blog.restcase.com beeceptor.com

Некоторые ситуации, в которых применяют 401:

• от клиента ещё не получены детали аутентификации; beeceptor.com
• предоставленная информация об аутентификации (имя пользователя и пароль/токен) недействительна или истекла; beeceptor.com
• в запросах нет заголовка авторизации, например «Authorization». beeceptor.com

Код состояния 403 (Forbidden) используется, когда сервер признаёт запрос, клиент прошёл аутентификацию, но у него нет разрешения получить доступ к запрашиваемому ресурсу. beeceptor.com

Некоторые ситуации, в которых применяют 403:

• у аутентифицированного клиента недостаточно прав для доступа к определённым ресурсам; beeceptor.com
• сервер запрещает доступ к ресурсу независимо от состояния аутентификации клиента; beeceptor.com
• доступ клиента к ресурсам запрещён любой формой системы контроля доступа. beeceptor.com

Пример использования: пользователь пытается получить доступ к странице с информацией о зарплате без входа в систему. beeceptor.com Система проверяет аутентификацию, так как пользователь не вошёл в систему, аутентификация проваливается, и сервер отвечает кодом состояния 401 Unauthorized. beeceptor.com

Ещё один пример: авторизованный пользователь пытается получить доступ к странице, предназначенной только для администраторов, без необходимых прав. beeceptor.com Даже если пользователь войдёт в систему, ответ будет содержать код состояния 403 Forbidden, так как у него нет достаточных прав. beeceptor.com