Le code de statut deréponse d'erreur client HTTP403 Forbidden indique que le serveur a compris la requête mais a refusé de la traiter.Ce statut est similaire à401, sauf que pour les réponses403 Forbidden, s'authentifier ou se réauthentifier ne change rien.L'échec de la requête est lié à la logique applicative, comme des permissions insuffisantes pour une ressource ou une action.

Les clients qui reçoivent une réponse403 doivent s'attendre à ce que répéter la requête sans modification échoue avec la même erreur.Les propriétaires de serveurs peuvent choisir d'envoyer une réponse404 au lieu d'un 403 s'ils ne souhaitent pas révéler l'existence d'une ressource à des clients sans privilèges suffisants.

Statut

403 Forbidden

Exemples

Échec de la requête pour permissions insuffisantes

L'exemple de requête suivant est envoyé à une API de gestion des utilisateur·ice·s.La requête contient un en-têteAuthorization utilisant leschéma d'authentificationBearer contenant un jeton d'accès :

DELETE /users/123 HTTP/1.1Host: example.comAuthorization: Bearer abcd123

Le serveur a authentifié la requête, mais l'action échoue en raison de droits insuffisants et le corps de la réponse contient la raison de l'échec :

HTTP/1.1 403 ForbiddenDate: Tue, 02 Jul 2024 12:56:49 GMTContent-Type: application/jsonContent-Length: 88{  "error": "InsufficientPermissions",  "message": "Deleting users requires the 'admin' role."}

Spécifications

Voir aussi

• Les codes de statut de réponse HTTP
• Le code de statut HTTP401
• Définitions des codes de statut HTTP^(angl.)