Een pagina laadt niet. Geen ‘404 pagina niet gevonden’, maar iets anders: 401 Unauthorized. De server geeft antwoord, maar geen toegang. Dit is geen storing of een kapotte link. Dit is een bewuste reactie: je mist de juiste rechten, of eigenlijk, de juiste identificatie.
De 401 status code geeft aan dat er authenticatie nodig is, maar dat die niet is meegegeven of ongeldig is. Het gaat dus niet om toegang die expliciet geweigerd wordt (zoals bij een 403), maar om toegang die nog niet is toegestaan. Je bent simpelweg niet aangemeld.
Wat zegt de 401 http status code precies?
In technische termen: de server verwacht een geldige Authorization-header, maar die is niet aanwezig of klopt niet. Als reactie stuurt hij:
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Basic realm=”Login vereist”
Die WWW-Authenticate-header hoort erbij. Het is een uitnodiging voor de client om zichzelf bekend te maken. Zolang die stap ontbreekt, blijft het bij een response 401: toegang geweigerd, omdat je niet bent ingelogd.
Hoe zie je zo’n 401 foutmelding?
In de browser? Meestal krijg je een melding in de trant van:
“Deze pagina werkt niet – HTTP 401”
Of je ziet simpelweg “401 Unauthorized” op een blanco scherm. Soms een kale “Access denied”. En bij API-calls krijg je meestal een JSON met de melding “error”: “Unauthorized” of “code”: 401.
Het ziet er weinig spectaculair uit, maar het vertelt je wel precies wat je moet weten: je hebt iets opgevraagd waarvoor authenticatie vereist is, en die ontbrak.
Oorzaken van een 401 error
Een statuscode 401 ontstaat niet zomaar. In de praktijk zijn dit de meest voorkomende oorzaken:
- Je bent (nog) niet ingelogd, of je sessie is verlopen
- Een token in de header ontbreekt of is verlopen
- De server verwacht een specifieke loginmethode (zoals Basic of Bearer auth)
- Een beveiligingslaag of firewall blokkeert het verzoek
- Bij API’s: het access token is ongeldig of niet meegegeven
Bij alles wat je opvraagt achter een beveiligde laag, een gebruikersdashboard, een API-endpoint, een adminomgeving, krijg je zonder juiste credentials een 401 http terug.
Hoe los je foutcode 401 op?
In een webomgeving is het vaak eenvoudig: opnieuw inloggen lost het probleem meestal op.
Bij API-verkeer ligt het genuanceerder. Daar moet je checken of je verzoek headers bevat met de juiste authenticatie, bijvoorbeeld een Bearer-token. Ontbreekt die, of is het token verlopen, dan volgt onverbiddelijk een status 401.
Soms is het iets eenvoudigs als een plugin die extra authenticatie eist, of een redirect die de sessie onderbreekt. Werken met tools als Postman of Insomnia helpt je om stap voor stap te controleren of je request volledig is.
Hoe kun je zelf de status 401 herkennen?
In je browser gebruik je de developer tools, tabblad Network. Daar zie je per verzoek de statuscode staan, code 401 is duidelijk zichtbaar, meestal samen met de bijbehorende header.
Gebruik je liever curl?
curl -I https://jouwdomein.nl/beveiligd-endpoint
Als je dan HTTP/1.1 401 Unauthorized terugkrijgt, weet je genoeg. De server accepteert je verzoek niet zonder verdere identificatie.
Tools als Screaming Frog geven foutmeldingen zoals foutcode 401 ook netjes weer als ze tegen beveiligde delen van een site aanlopen.
Wat maakt statuscode 401 anders dan 403?
Dat wordt vaak door elkaar gehaald. Kort:
- 401 status betekent: je bent niet ingelogd, dus je mag nog niet naar binnen
- 403 betekent: je bent wel bekend, maar hebt geen rechten om dit te zien
Bij een http 401 kun je het probleem meestal oplossen door in te loggen of de juiste headers mee te geven. Bij een 403 ligt het ingewikkelder: daar moet je rechten krijgen, of toegang aanvragen.
Tot slot
Een 401 status code is technisch gezien heel helder: geen toegang zonder identificatie. Of je nu werkt met een API, een adminomgeving of een login-only pagina, de foutmelding wijst je precies naar het probleem, je mist de juiste authenticatie.
Het is een veelvoorkomende fout, maar niet iets om bang voor te zijn. Integendeel. Wie het goed leest, weet: de server werkt zoals het hoort. Alleen jij moet nog even laten zien wie je bent.
