@skobkin @rayslava 401, если нет аутентификации или она не верная - мы не можем проверить, что тот, кто к нам пришел, это действительно он. Если же аутентификация есть и мы можем подтвердить пользователя, но ему это нельзя делать, тогда уже 403.
То есть, если код ошибки возвращает сервис, то 401 и 403 должны быть выброшены на разных уровнях обработки запроса.