Erreur HTTP 401 Unauthorized : Signification et Comment la Corriger
Qu'est-ce que l'Erreur 401 Unauthorized ?
L'erreur 401 Unauthorized est un code de statut HTTP qui signifie que le serveur exige une authentification pour la ressource demandée, mais la requête n'incluait pas d'identifiants ou les identifiants fournis étaient invalides.
La spécification HTTP (RFC 9110, Section 15.5.2) la définit ainsi : la requête ne possède pas d'identifiants d'authentification valides pour la ressource cible. Le serveur générant la réponse 401 doit inclure un header WWW-Authenticate indiquant quel schéma d'authentification utiliser.
En termes simples : le serveur demande « qui êtes-vous ? » avant d'autoriser l'accès. Soit vous n'avez fourni aucune identification, soit l'identification que vous avez fournie était incorrecte.
À Quoi Ressemble une Erreur 401
L'erreur 401 apparaît différemment selon le serveur, le navigateur et l'application. Voici les messages les plus courants que vous rencontrerez.
401 Unauthorized — le message de réponse HTTP standard
HTTP Error 401 – Unauthorized — courant dans les applications IIS et ASP.NET
401 Authorization Required — page d'erreur par défaut de Nginx
Error 401 — forme abrégée dans les barres d'adresse du navigateur
Access Denied: Invalid credentials — pages d'erreur personnalisées des applications
Authentication Required — fenêtre contextuelle du navigateur pour l'authentification Basic/Digest
Invalid API Key — courant dans les réponses des APIs REST
Token Expired — le token JWT ou OAuth doit être renouvelé
Lorsqu'un serveur envoie un 401, la plupart des navigateurs affichent une fenêtre contextuelle de connexion demandant un nom d'utilisateur et un mot de passe. Si le serveur utilise l'authentification par token (comme les APIs), vous verrez l'erreur dans le corps de la réponse JSON.
401 vs 403 : Quelle Est la Différence ?
Les codes de statut 401 et 403 sont fréquemment confondus, même par des développeurs expérimentés. La distinction est simple : 401 signifie « je ne sais pas qui vous êtes » tandis que 403 signifie « je sais qui vous êtes, mais vous n'avez pas la permission ».
| Aspect | 401 Unauthorized | 403 Forbidden |
|---|---|---|
| Signification principale | Authentification échouée ou manquante | Autorisation refusée |
| La question du serveur | « Qui êtes-vous ? » | « Vous n'avez pas la permission » |
| Identifiants | Non fournis ou invalides | Valides mais insuffisants |
| Réessayer aide-t-il ? | Oui — fournissez les bons identifiants | Non — vous n'avez pas la permission |
| Header WWW-Authenticate | Obligatoire dans la réponse | Non inclus |
| Scénario d'exemple | Accéder au panneau admin sans se connecter | Connecté en tant que lecteur, tentative de supprimer des articles |
Une règle pratique : si fournir le bon nom d'utilisateur et mot de passe (ou clé API) résoudrait le problème, le serveur devrait retourner 401. Si l'utilisateur est déjà authentifié mais n'a simplement pas accès à cette ressource, le serveur devrait retourner 403 Forbidden.
Causes Courantes des Erreurs 401
Comprendre pourquoi une erreur 401 se produit dépend de si vous êtes un utilisateur ordinaire, un développeur appelant une API ou un administrateur serveur. Voici les causes les plus fréquentes.
Nom d'utilisateur ou mot de passe incorrect — la cause la plus basique, surtout après une réinitialisation de mot de passe
Token d'authentification expiré — les tokens JWT, les tokens d'accès OAuth et les cookies de session ont tous des durées d'expiration
Header Authorization manquant — la requête n'incluait aucun identifiant
Clé API invalide — la clé a été révoquée, renouvelée ou copiée incorrectement
Schéma d'authentification incorrect — le serveur attend un Bearer token mais a reçu du Basic auth, ou inversement
Décalage d'horloge (clock skew) — la validation JWT échoue lorsque les horloges du serveur et du client sont désynchronisées de plus de quelques minutes
CORS preflight supprimant les headers — le navigateur supprime le header Authorization des requêtes preflight OPTIONS
Cache du navigateur obsolète — le navigateur envoie un cookie de session en cache expiré au lieu d'en demander un nouveau
Mauvaise configuration du proxy inverse — Nginx ou Apache supprime le header Authorization avant de le transmettre au backend
Identifiants limités en débit ou révoqués — trop de tentatives échouées ont déclenché le verrouillage du compte
Comment Corriger l'Erreur 401 en Tant que Visiteur
Si vous rencontrez une erreur 401 sur un site web que vous essayez d'accéder, le problème est presque toujours lié à vos identifiants de connexion. Suivez ces étapes dans l'ordre.
1. Vérifiez Vos Identifiants de Connexion
La cause la plus courante d'une erreur 401 est simplement des identifiants incorrects. Si le site affiche une fenêtre contextuelle ou un formulaire de connexion, vérifiez votre nom d'utilisateur et votre mot de passe.
Erreurs courantes : le verrouillage des majuscules est activé, vous utilisez un ancien mot de passe (surtout après une réinitialisation récente), ou vous vous connectez au mauvais compte. Si vous avez un gestionnaire de mots de passe, laissez-le remplir automatiquement les identifiants pour éviter les fautes de frappe.
2. Videz le Cache et les Cookies du Navigateur
Votre navigateur peut envoyer un cookie de session expiré ou un token d'authentification en cache. Vider ces données force le navigateur à demander de nouveaux identifiants au serveur.
Chrome: Settings → Privacy → Clear browsing data → Cookies + Cached images
Firefox: Settings → Privacy → Clear Data → Cookies + Cache
Safari: Settings → Privacy → Manage Website Data → Remove All
Edge: Settings → Privacy → Clear browsing data → Cookies + CacheAprès avoir vidé le cache, fermez complètement le navigateur (pas seulement l'onglet), rouvrez-le et naviguez à nouveau vers la page. Vous devriez voir une nouvelle invite de connexion.
3. Essayez le Mode Navigation Privée
Ouvrez l'URL dans une fenêtre de navigation privée (Chrome) ou privée (Firefox/Safari). Cela contourne tous les cookies en cache, les extensions et les identifiants enregistrés.
Si la page fonctionne en navigation privée mais pas dans votre navigateur normal, le problème est un cookie en cache ou une extension du navigateur qui interfère avec l'authentification. Désactivez les extensions une par une pour trouver la coupable.
4. Vérifiez l'URL
Assurez-vous que vous visitez la bonne URL. Certains serveurs retournent 401 pour des chemins qui nécessitent une authentification, même si le chemin lui-même est incorrect. Vous essayez peut-être d'accéder à une zone restreinte que vous n'étiez pas censé visiter.
Vérifiez s'il existe une version publique de la page à une URL différente. Par exemple, example.com/admin/ peut retourner 401 tandis que example.com/ est accessible publiquement.
Comment Corriger l'Erreur 401 en Tant que Développeur
Pour les développeurs travaillant avec des APIs, les erreurs 401 concernent généralement le header Authorization, le format du token ou le cycle de vie des identifiants. Voici les corrections les plus courantes.
5. Vérifiez le Header Authorization
L'erreur la plus courante des développeurs est un header Authorization mal formé. Le header WWW-Authenticate dans la réponse du serveur vous indique exactement quel schéma il attend.
Vérifiez que votre header correspond au format requis. Les schémas les plus courants sont Bearer (pour les tokens) et Basic (pour nom_utilisateur:mot_de_passe encodés en Base64).
# Bearer token authentication (most APIs)
curl -H "Authorization: Bearer eyJhbGciOiJIUzI1NiIs..." https://api.example.com/data
# Basic authentication (username:password in Base64)
curl -u "username:password" https://api.example.com/data
# Equivalent to:
curl -H "Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=" https://api.example.com/data
# Common mistakes that cause 401:
# Missing "Bearer " prefix: Authorization: eyJhbGci... ← WRONG
# Extra space: Authorization: Bearer eyJ... ← WRONG
# Wrong scheme: Authorization: Basic eyJhbGci... ← WRONGVérifiez toujours le header WWW-Authenticate dans la réponse 401. Il vous indique exactement ce que le serveur attend. Utilisez l'outil HTTP Headers de DNS Robot pour inspecter la réponse complète.
6. Vérifiez la Validité de la Clé API
Les clés API peuvent silencieusement cesser de fonctionner pour plusieurs raisons : la clé a été renouvelée, le compte associé a été rétrogradé, la clé a atteint sa limite de débit, ou elle a été configurée pour des endpoints différents de ceux que vous appelez.
Vérifiez que votre clé est toujours active dans le tableau de bord du fournisseur. De nombreuses APIs (Google, AWS, Stripe) vous permettent de tester la clé directement depuis leur console.
# Test if your API key is valid
curl -I -H "Authorization: Bearer YOUR_API_KEY" https://api.example.com/me
# 200 = key is valid
# 401 = key is invalid or expired
# 403 = key is valid but lacks permission for this endpoint
# Check common API key issues:
# 1. Trailing whitespace in .env file: API_KEY="abc123 " ← trailing space
# 2. Wrong environment: using test key on production
# 3. Missing prefix: some APIs need "sk_live_" prefix7. Gérez l'Expiration et le Renouvellement des Tokens
Les tokens JWT et les tokens d'accès OAuth ont une durée de vie limitée — généralement de 15 minutes à 24 heures. Lorsqu'ils expirent, chaque appel API retourne 401 jusqu'à ce que vous obteniez un nouveau token.
La solution dépend de votre flux d'authentification. OAuth 2.0 utilise un refresh token pour obtenir un nouveau token d'accès sans réauthentification. Les systèmes basés sur JWT nécessitent généralement une nouvelle connexion.
# Decode a JWT token to check its expiry (works on macOS and Linux)
echo "eyJhbGciOiJIUzI1NiIs..." | cut -d'.' -f2 | base64 -d 2>/dev/null | python3 -m json.tool
# Look for "exp" field — it's a Unix timestamp
# Compare with current time: date +%s
# OAuth 2.0 refresh token flow
curl -X POST https://auth.example.com/token \
-d "grant_type=refresh_token" \
-d "refresh_token=YOUR_REFRESH_TOKEN" \
-d "client_id=YOUR_CLIENT_ID"8. Corrigez les Problèmes de CORS Preflight
Lorsqu'un navigateur envoie une requête cross-origin avec un header Authorization, il envoie d'abord une requête preflight OPTIONS. Le navigateur supprime automatiquement le header Authorization de cette requête preflight. Si votre serveur exige l'authentification sur la requête OPTIONS, il retourne 401 avant que la vraie requête ne soit envoyée.
La solution : configurez votre serveur pour autoriser les requêtes OPTIONS sans authentification sur les endpoints CORS.
# Nginx — allow OPTIONS requests without auth
location /api/ {
if ($request_method = OPTIONS) {
add_header Access-Control-Allow-Origin *;
add_header Access-Control-Allow-Methods "GET, POST, PUT, DELETE, OPTIONS";
add_header Access-Control-Allow-Headers "Authorization, Content-Type";
add_header Access-Control-Max-Age 86400;
return 204;
}
# Normal auth for other methods
auth_basic "Restricted";
auth_basic_user_file /etc/nginx/.htpasswd;
}Comment Corriger l'Erreur 401 en Tant que Propriétaire du Site
Si vos visiteurs ou utilisateurs signalent des erreurs 401, le problème se trouve dans la configuration d'authentification de votre serveur. Effectuez ces vérifications.
9. Vérifiez la Configuration d'Authentification du Serveur
Vérifiez que l'authentification n'est activée que sur les routes qui en ont besoin. Une erreur courante est de protéger un répertoire ou un site entier alors que seuls des chemins spécifiques devraient nécessiter une connexion.
Sur Nginx, vérifiez vos directives auth_basic. Sur Apache, vérifiez les directives AuthType et Require. Sur Node.js/Express, vérifiez l'ordre de vos middlewares — un middleware d'authentification placé avant les gestionnaires de routes bloquera tout.
# Nginx — WRONG: protects everything, including public pages
server {
auth_basic "Restricted";
auth_basic_user_file /etc/nginx/.htpasswd;
# All pages now require login — including your homepage!
}
# Nginx — CORRECT: only protect admin routes
server {
location / {
# Public — no auth required
}
location /admin/ {
auth_basic "Admin Area";
auth_basic_user_file /etc/nginx/.htpasswd;
}
}10. Vérifiez les Règles d'Authentification du .htaccess
Sur les serveurs Apache, les fichiers .htaccess peuvent activer l'authentification Basic ou Digest pour des répertoires spécifiques. Si un fichier .htaccess existe dans un répertoire public avec des directives AuthType, tous les visiteurs recevront une invite de connexion 401.
Vérifiez s'il existe des fichiers .htaccess dans le répertoire concerné et dans tous les répertoires parents — Apache applique les règles de tous les fichiers .htaccess du chemin.
# Find all .htaccess files with auth rules
find /var/www/html -name '.htaccess' -exec grep -l 'AuthType\|AuthUserFile\|Require valid-user' {} \;
# Example .htaccess that causes 401 for everyone:
# AuthType Basic
# AuthName "Restricted Area"
# AuthUserFile /etc/apache2/.htpasswd
# Require valid-user
# Fix: remove auth lines from public directories,
# or move them to the specific /admin/.htaccess only11. Corrigez la Suppression des Headers par le Proxy Inverse
Si votre application est derrière Nginx, Apache ou un répartiteur de charge, le proxy peut supprimer le header Authorization avant de transmettre la requête à votre backend. C'est l'une des causes les plus frustrantes d'erreurs 401 car le client envoie les bons identifiants mais le serveur ne les reçoit jamais.
Vérifiez la configuration de votre proxy pour vous assurer qu'il transmet le header Authorization.
# Nginx reverse proxy — pass Authorization header to backend
location /api/ {
proxy_pass http://localhost:3000;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Authorization $http_authorization; # ← Critical!
proxy_pass_header Authorization; # ← Also add this
}
# Apache reverse proxy
<Location /api/>
ProxyPass http://localhost:3000/api/
ProxyPassReverse http://localhost:3000/api/
RequestHeader set Authorization "expr=%{HTTP:Authorization}" # Pass auth header
</Location>Déboguer les Erreurs 401 avec les HTTP Headers
Le moyen le plus rapide de diagnostiquer une erreur 401 est d'inspecter les headers de la réponse. Le header WWW-Authenticate dans la réponse du serveur vous indique exactement quelle méthode d'authentification est requise.
Utilisez l'outil HTTP Headers de DNS Robot ou curl depuis le terminal pour voir la réponse complète.
# Check the WWW-Authenticate header in the 401 response
curl -I https://api.example.com/protected-endpoint
# Typical 401 response headers:
# HTTP/1.1 401 Unauthorized
# WWW-Authenticate: Bearer realm="api", error="invalid_token"
# WWW-Authenticate: Basic realm="Admin Area"
# Content-Type: application/json
# The WWW-Authenticate header tells you:
# - The auth scheme (Bearer, Basic, Digest)
# - The realm (which area is protected)
# - The error reason (invalid_token, expired, etc.)Portez une attention particulière au header WWW-Authenticate. S'il indique Bearer, vous avez besoin d'un token. S'il indique Basic, vous avez besoin d'un nom d'utilisateur et d'un mot de passe. S'il inclut error=invalid_token, votre token existe mais est mal formé ou expiré. Ce seul header vous indique généralement exactement quel est le problème.
L'Erreur 401 Affecte-t-elle le SEO ?
Une erreur 401 sur des pages publiques nuira à votre SEO. Lorsque Googlebot rencontre un 401, il ne peut pas explorer la page et finira par la retirer de l'index.
Cependant, les erreurs 401 sur des pages qui doivent nécessiter une authentification (panneaux d'administration, tableaux de bord utilisateur, endpoints API) sont tout à fait normales. Google s'attend à ce que ces pages soient protégées et ne pénalisera pas votre site pour cela.
Le problème survient lorsque des erreurs 401 apparaissent sur des pages qui devraient être accessibles publiquement. Cela se produit généralement lorsque le middleware d'authentification est mal configuré ou lorsqu'un CDN/proxy inverse exige incorrectement des identifiants sur des routes publiques.
Comment Prévenir les Erreurs 401
La prévention vous épargne le débogage ultérieur. Suivez ces pratiques pour minimiser les erreurs 401 dans vos applications et sites web.
Implémentez le renouvellement automatique des tokens — utilisez des refresh tokens pour obtenir silencieusement de nouveaux tokens d'accès avant leur expiration
Définissez des portées d'authentification appropriées — ne protégez que les routes qui nécessitent réellement une authentification, laissez les pages publiques ouvertes
Utilisez des messages d'erreur clairs — retournez des corps d'erreur JSON utiles avec le 401, pas seulement le code de statut
Surveillez les échecs d'authentification — configurez des alertes pour les pics de réponses 401, qui peuvent indiquer des problèmes d'identifiants ou des attaques
Synchronisez les horloges des serveurs — utilisez NTP pour maintenir tous les serveurs à quelques secondes de l'UTC, évitant les rejets JWT par décalage d'horloge
Testez avec l'[outil HTTP Headers](/http-headers) — vérifiez régulièrement que les pages publiques retournent 200 et que les pages protégées retournent 401 comme prévu
Documentez votre schéma d'authentification — rendez le format attendu du header Authorization clair dans la documentation de votre API
Gérez le CORS preflight — autorisez toujours les requêtes OPTIONS sans authentification sur les endpoints API
Vérifiez vos headers de réponse HTTP
Utilisez l'outil gratuit HTTP Headers de DNS Robot pour inspecter le statut de réponse, les headers et les informations WWW-Authenticate de n'importe quelle URL instantanément.
Try HTTP HeadersFrequently Asked Questions
L'erreur 401 Unauthorized signifie que le serveur exige une authentification mais votre requête n'incluait pas d'identifiants valides. Vous n'avez pas fourni de nom d'utilisateur/mot de passe ou de clé API, ou ceux que vous avez fournis étaient incorrects ou expirés.