Oi, Sean, tudo bem?
Os status de 400 - 499 estão relacionados à Erros do Cliente.
O status 401
nos diz que o cliente deve se autenticar para obter a resposta que foi solicitada.
Já o status 403
é quando o cliente não tem direitos de acesso ao conteúdo, assim, o servidor rejeita o pedido de resposta.
A diferença entre esses ambos os status está em que a identidade do cliente é conhecida quando é retornado 403 Forbidden
mas não tem acesso aquela resposta em si. No 401 Unauthorized
o cliente não é autenticado, sua identidade não é conhecida.
Como a questão deixa em suspenso quando usa a assertiva: tente acessar uma rota que suas permissões não permitem, nesse caso, o cliente é autenticado, mas está tentando acessar uma rota não permitida pelo servidor. Mas, de fato, a primeira assertiva: caso o usuário não esteja logado no sistema deixa uma pequena pulga atrás da orelha, pois se fosse somente essa, o status retornado seria o 401
.
Se ficou alguma dúvida, é só falar!