Parece que quiere decir 403 prohibido, no 401 no autorizado (ya que usted dice acceso autorizado, no autenticación). Esta fuente lo explica con mayor detalle: Daniel Irvine
401 No autorizado, el código de estado HTTP para errores de autenticación. Y eso es justo: es para la autenticación, no para la autorización. El servidor le dice a usted que recibe una respuesta al 401: "usted no está autenticado, ya sea que no esté autenticado en absoluto o que esté autenticado incorrectamente, pero por favor vuelva a autenticarse e intente nuevamente". cómo autenticar.
Recibir una respuesta 403 es lo que el servidor le dice: "Lo siento. Sé quién eres, creo que dices que eres, pero simplemente no tienes permiso para acceder a este recurso. Tal vez si le pregunta amablemente al administrador del sistema, obtendrá un permiso. Pero por favor, no me molestes de nuevo hasta que tu situación cambie ".
Nunca he oído que un código de estado 401/403 sea una mala práctica. En escenarios de no ataque, cumple la importante función de informar al usuario que necesita solicitar una actualización de privilegios o acudir a alguien con privilegios más altos para completar alguna tarea. En muchos de estos casos, un usuario necesita saber que el recurso existe.
Revela a los atacantes que existe un recurso, lo que podría aumentar la superficie de ataque de su aplicación. Sin embargo, si depende de que un atacante no sepa acerca de un recurso para mantenerlo seguro, probablemente debería mejorar las defensas a su alrededor. Las ventajas de uso superan las desventajas de seguridad leves.