401 Unauthorized é o erro de "por favor faça login". O servidor recebeu sua requisição mas não consegue verificar quem você é — você não enviou credenciais, ou as que enviou são inválidas ou vencidas. É um código 4xx, e a boa notícia é que costuma ser fácil de corrigir: autentique-se corretamente.
401 vs 403 — a distinção que confunde todo mundo
- 401 Unauthorized → "Não sei quem você é. Autentique e tente de novo." (apesar do nome, é sobre autenticação).
- 403 Forbidden → "Sei quem você é, e mesmo assim não pode."
Regra prática: 401 = quem é você? · 403 = eu sei, e não.
Causas comuns
| Causa | O que acontece |
|---|---|
| Sem credenciais | A requisição não incluiu Authorization nem sessão |
| Sessão/token vencido | Seu login ou JWT expirou |
| Token / API key inválido | Credencial errada, revogada ou mal digitada |
| Esquema de auth errado | Enviar Basic onde a API espera Bearer |
Como corrigir — como usuário
- Faça login — ou saia e entre de novo para refrescar uma sessão vencida.
- Limpe cookies se uma sessão velha ficou presa.
- Revise usuário/senha (e o passo de 2FA).
Como corrigir — como desenvolvedor / consumidor de API
- Revise o formato do header:
Authorization: Bearer <token>. - Verifique o token (não vencido, não revogado, assinado com a key correta).
- Leia
WWW-Authenticate— o 401 deve dizer o esquema esperado. - Refresque, não faça loop com o token morto.
Uma onda repentina de 401 num endpoint de login pode ser um credential stuffing em curso. O Nurbak Watch rastreia as taxas de erro de auth por endpoint e te avisa na hora; o scanner audita sua autenticação segundo o checklist de segurança de APIs.