< HTTP />
en

403 Forbidden

4xx Erreur client RFC 9110
On sait qui vous êtes. La réponse est toujours non.

Que signifie 403 Forbidden {#what}

Le serveur connaît l’identité du client (authentifié ou non) et a décidé qu’il n’a pas la permission d’accéder à cette ressource. Contrairement au 401, envoyer des identifiants n’aidera pas — le problème est l’autorisation, pas l’authentification.

Quand vous verrez une 403 {#when}

  • Tentative d’accès à un endpoint admin en tant qu’utilisateur normal
  • Accès à une ressource qui appartient à un autre utilisateur
  • Blocage par IP, restriction géographique ou WAF

Quand utiliser 403 {#use}

  • Utilisez quand l’utilisateur est connu mais n’a pas les bonnes permissions
  • Vous pouvez utiliser 404 à la place pour masquer l’existence d’une ressource aux utilisateurs non autorisés (sécurité par l’obscurité)

Ne confondez pas 403

401 À utiliser quand l'authentification est manquante ou a échoué 404 Parfois utilisé intentionnellement à la place de 403 pour ne pas révéler qu'une ressource existe