HTTP 401(Unauthorized), 403(Forbidden) 차이

 

4xx 대 에러는 클라이언트 측에서 잘못된 요청(request)을 보냈을 때 발생하는 에러입니다. 그 중 401 에러와 403 에러는 모두 인증이 안됐을 때 발생하는데, 이 차이를 알아보겠습니다.

 

1. 401 Unauthorized 에러

- HTTP 상태 에러 중 401은, 클라이언트가 인증되지 않았을 때 발생하는 에러입니다. 인증되지 않은 경우란, 쉽게 말해 로그인을 하지 않았을 때, 어렵게 말해 request 헤더에 유효한 인증 정보가 포함되지 않았을 때를 의미합니다. 즉 클라이언트가 해당 요청에 권한이 없을 때, 이를 금지(Forbidden)시키는 에러입니다. 우리가 흔히 로그인 하지 않은 상태에서 글을 작성하거나 마이페이지를 조회하려고 할 때 서버는 401 에러를 반환합니다.

 

AccessToken 없이 HTTP Patch 요청을 보내면, status().isUnauthorized() 메시지를 출력합니다.

    @Test
    void updateUserWithoutAccessToken() throws Exception {
        mockMvc.perform(
                patch("/users/1")
                        .contentType(MediaType.APPLICATION_JSON)
                        .content("{\"name\":\"TEST\",\"password\":\"test\"}")
        )
                .andExpect(status().isUnauthorized());
    }
    

 

 

2. 403 Forbidden 에러

- 403 에러는, 서버가 요청(request)을 이해는 했지만, 해당 요청을 거부할 때 발생합니다. 즉 로그인은 했지만 권한 밖의 일을 수행할 때, 예를 들어 다른 사람의 댓글을 수정하거나 삭제할 때 발생하는 에러(403 Forbidden) 입니다. 당연히 서버는 작성자 본인의 글만 수정/삭제할 수 있도록 제어를 해야겠죠. 

 

AccessToken을 request에 포함하여 보내더라도, 유효하지 않은 AccessToken,

즉 다른 사람의 AccessToken 이라면, update가 불가능하도록 status().isForbidden() 을 출력합니다.

    @Test
    void updateUserWithOthersAccessToken() throws Exception {
        mockMvc.perform(
                patch("/users/1")
                        .contentType(MediaType.APPLICATION_JSON)
                        .content("{\"name\":\"TEST\",\"password\":\"test\"}")
                        .header("Authorization", "Bearer " + OTHER_TOKEN)
        )
                .andExpect(status().isForbidden());
    }

 

 

추가) Authentication, Authorization 차이

인증(authentication)과 권한(authorization)에 대해서도 추가로 다뤄봅시다. Apache  공식문서에는 아래와 같이 Authentication과 authorization을 설명합니다.

 

"인증(authentication)은 자신이 누구라고 주장하는 사람을 확인하는 절차이다. 권한부여(authorization)는 가고 싶은 곳으로 가도록 혹은 원하는 정보를 얻도록 허용하는 과정이다." 

풀어서 얘기하자면, Authentication은 곧 로그인의 과정이고, Authorization은 로그인 후, 해당 유저가 관리자인지 일반 사용자인지 구분하는 절차입니다.