Buka Tiket 
+373 79 600002 
Obrolan Langsung Telegram 
F.A.Q 
Indonesia
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
български 
中文 (中国) 
10.10.2024
Administrasi 
KeamananKesalahan HTTP 401 Unauthorized: Panduan Diagnosis dan Perbaikan Lengkap
Kode status HTTP 401 Unauthorized berarti server menerima permintaan Anda tetapi menolak memprosesnya karena kredensial autentikasi yang valid tidak ada, salah, atau sudah kedaluwarsa. Berbeda dengan error 403 Forbidden — di mana server mengenali Anda tetapi menolak akses berdasarkan izin — 401 secara khusus menandakan kegagalan autentikasi: server tidak mengetahui siapa Anda, atau tidak dapat memverifikasinya.
Perbedaan ini penting. Respons 401 selalu menyertakan header WWW-Authenticate dalam balasan server, yang menginstruksikan klien skema autentikasi mana yang harus digunakan. Jika header tersebut tidak ada, Anda mungkin menghadapi server yang salah dikonfigurasi, bukan masalah kredensial. Mengetahui mode kegagalan yang tepat sebelum mulai memecahkan masalah dapat menghemat waktu yang signifikan.
Seperti Apa Sebenarnya Respons 401 Itu
Error ini muncul dalam beberapa varian pesan tergantung pada perangkat lunak server, framework, atau CDN yang berada di depan aplikasi:
401 UnauthorizedHTTP Error 401 – Unauthorized401 Unauthorized: Access is denied due to invalid credentialsAuthorization Required
401 Authorization Required (umum di NGINX)
HTTP 401 (klien API, Postman, curl)
Semua ini merujuk pada kode status yang sama yang didefinisikan oleh RFC 9110. Variasi dalam kata-kata hanyalah kosmetik — didorong oleh web server, reverse proxy, atau framework aplikasi yang menghasilkan respons.
Anatomi Teknis dari Error 401
Memahami apa yang terjadi di tingkat protokol mencegah tebak-tebakan. Ketika klien mengirim permintaan ke sumber daya yang dilindungi tanpa kredensial, server merespons dengan:
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Bearer realm="example", error="invalid_token"
Content-Type: application/json
Header WWW-Authenticate adalah tantangan dari server. Header ini memberi tahu klien secara tepat skema mana — Basic, Bearer, Digest, NTLM, atau skema kustom — yang diperlukan. Klien yang mengabaikan header ini dan mencoba ulang tanpa menyesuaikan permintaannya akan terus berulang tanpa henti.
401 vs. 403 vs. 407: Mengetahui Perbedaannya
Kode Status
Nama
Penyebab Utama
Header `WWW-Authenticate`
—
—
—
—
401
Unauthorized
Kredensial autentikasi tidak ada atau tidak valid
Diperlukan oleh spesifikasi
403
Forbidden
Terautentikasi tetapi tidak memiliki izin
Tidak ada
407
Proxy Auth Required
Server proxy memerlukan kredensial
Header `Proxy-Authenticate`
511
Network Auth Required
Captive portal (Wi-Fi hotel, dll.)
Tidak berlaku
Salah mengidentifikasi 403 sebagai 401 adalah kesalahan umum pengembang. Jika server Anda mengembalikan 401 tetapi menghilangkan WWW-Authenticate, secara teknis tidak sesuai dengan RFC 9110 — dan beberapa klien HTTP yang ketat akan memperlakukan respons tersebut sebagai tidak valid.
Penyebab Error 401 Unauthorized
Masalah Kredensial dan Token
Nama pengguna atau kata sandi yang salah — penyebab paling umum untuk akses berbasis browser
Token akses yang kedaluwarsa — token Bearer OAuth 2.0 memiliki nilai expires_in yang terbatas; setelah habis, setiap permintaan mengembalikan 401 hingga token diperbarui
API key yang dicabut — key dapat dibatalkan di sisi server tanpa pemberitahuan kepada klien
Ketidakcocokan tanda tangan JWT — jika rahasia penandatanganan dirotasi dan klien memegang token yang ditandatangani dengan rahasia lama, verifikasi gagal secara diam-diam
Perbedaan waktu (clock skew) — JWT menyertakan klaim iat (diterbitkan pada) dan exp (kedaluwarsa) yang divalidasi terhadap waktu server; jam klien yang menyimpang lebih dari beberapa menit dapat menyebabkan token yang valid ditolak
Header Authorization yang Hilang atau Tidak Valid
Setiap skema autentikasi memiliki format header yang tepat. Menyimpang darinya — bahkan dengan satu spasi atau padding Base64 yang salah — menghasilkan 401:
# Correct Basic Auth header
Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=
# Correct Bearer token header
Authorization: Bearer eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9...
Kesalahan umum adalah mengirim Authorization: bearer <token> (b huruf kecil). Meskipun RFC 6750 menyatakan nama skema tidak peka huruf besar-kecil, banyak library sisi server melakukan pencocokan string yang ketat dan menolak varian huruf kecil.
Kesalahan Konfigurasi Sisi Server
Metode autentikasi yang salah diterapkan — server yang dikonfigurasi untuk OAuth 2.0 yang menerima header Basic Auth akan menolaknya
Direktif .htaccess — pada Apache, direktif AuthType, AuthName, atau Require yang salah dikonfigurasi dalam .htaccess akan memblokir setiap permintaan di balik prompt kata sandi
Blok auth_basic NGINX — direktif auth_basic yang diterapkan pada blok location yang salah dapat mengunci pengguna yang sah
Reverse proxy yang menghapus header — load balancer dan reverse proxy (NGINX, HAProxy, Cloudflare) dapat menghapus atau menulis ulang header Authorization sebelum mencapai server asal
Gangguan Browser dan Sisi Klien
Cookie yang rusak — cookie sesi yang membawa status autentikasi dapat menjadi rusak atau tidak cocok setelah invalidasi sesi sisi server
Ekstensi browser yang agresif — pemblokir iklan, ekstensi privasi, dan ekstensi VPN dapat memodifikasi atau menghapus header permintaan
Kegagalan preflight CORS — dalam panggilan API lintas-origin, browser mengirim permintaan preflight OPTIONS; jika server tidak merespons dengan benar, permintaan terautentikasi yang sebenarnya tidak pernah dikirim
Faktor Infrastruktur dan Jaringan
Aturan firewall yang memblokir endpoint autentikasi — WAF (Web Application Firewall) dengan aturan yang terlalu agresif dapat menandai dan membuang permintaan yang mengandung header Authorization sebagai potensi serangan injeksi
CDN yang menyimpan cache respons terautentikasi — jika CDN menyimpan cache respons 401 dan menyajikannya kepada pengguna berikutnya, bahkan kredensial yang valid akan tampak gagal
Pembatasan laju berbasis IP — upaya autentikasi yang gagal berulang kali dapat memicu pemblokiran sementara yang mengembalikan 401 untuk semua permintaan dari IP tersebut
Cara Memperbaiki Error 401: Langkah demi Langkah
Untuk Pengguna Akhir dan Akses Browser
Langkah 1: Verifikasi kredensial dengan tepat
Pastikan Caps Lock tidak aktif. Konfirmasi bahwa Anda menggunakan kata sandi saat ini — bukan yang tersimpan sebelum reset terbaru. Jika akun Anda menggunakan autentikasi multi-faktor (MFA), pastikan kode satu kali belum kedaluwarsa (kode TOTP valid selama 30 detik secara default).
Langkah 2: Hapus cookie dan cache browser
Cookie sesi yang usang adalah sumber persisten dari loop 401. Di Chrome, navigasikan ke chrome://settings/clearBrowserData, atur rentang waktu ke Semua waktu, centang Cookie dan data situs lainnya dan Gambar dan file yang di-cache, lalu hapus. Di Firefox, gunakan about:preferences#privacy dan klik Hapus Data.
Setelah menghapus, tutup semua tab browser untuk domain yang terpengaruh sebelum mencoba lagi — beberapa browser mempertahankan status sesi dalam memori yang bertahan setelah penghapusan cache jika tab tetap terbuka.
Langkah 3: Uji dalam jendela privat/incognito
Jendela privat dimulai tanpa cookie, tanpa data yang di-cache, dan sebagian besar ekstensi dinonaktifkan. Jika 401 menghilang dalam mode incognito, masalahnya pasti berada di sisi klien: entah cookie yang rusak, respons buruk yang di-cache, atau ekstensi browser.
Langkah 4: Nonaktifkan ekstensi secara selektif
Navigasikan ke chrome://extensions/ dan nonaktifkan semua ekstensi. Muat ulang halaman. Jika autentikasi berhasil, aktifkan kembali ekstensi satu per satu untuk mengisolasi pelakunya. Privacy Badger, uMatrix, dan ekstensi VPN tertentu sering menjadi pelakunya.
Langkah 5: Periksa URL untuk kesalahan
Pastikan Anda tidak menavigasi ke jalur yang memerlukan izin yang lebih tinggi. URL seperti /admin/dashboard akan mengembalikan 401 jika sesi Anda tidak memiliki hak admin — bahkan jika login dasar Anda valid. Verifikasi jalur yang tepat dengan pemilik situs atau dokumentasi.
Langkah 6: Reset kata sandi Anda
Jika kedaluwarsa kredensial dicurigai, gunakan alur Lupa Kata Sandi. Setelah mereset, hapus cookie lagi sebelum mencoba login — cookie sesi lama mungkin bertentangan dengan status kredensial baru.
Untuk Pengembang dan Integrasi API
Langkah 7: Periksa respons HTTP mentah
Sebelum mengubah apa pun, tangkap respons server yang tepat menggunakan curl dengan output verbose:
curl -v -H "Authorization: Bearer YOUR_TOKEN" https://api.example.com/endpoint
Flag -v menampilkan header permintaan yang dikirim dan header respons yang diterima, termasuk tantangan WWW-Authenticate. Ini memberi tahu Anda dengan tepat skema mana yang diharapkan server.
Langkah 8: Validasi status token
Untuk token JWT, dekode payload tanpa memverifikasi tanda tangan untuk memeriksa klaim:
echo "YOUR_JWT_PAYLOAD_BASE64" | base64 --decode | python3 -m json.tool
Periksa field exp (timestamp Unix). Bandingkan dengan waktu saat ini:
date +%s
Jika exp kurang dari timestamp saat ini, token sudah kedaluwarsa. Implementasikan alur refresh menggunakan endpoint token penyedia OAuth Anda sebelum token mencapai kedaluwarsa.
Langkah 9: Audit konfigurasi autentikasi sisi server
Pada Apache, periksa .htaccess yang relevan atau konfigurasi virtual host:
AuthType Basic
AuthName "Restricted Area"
AuthUserFile /etc/apache2/.htpasswd
Require valid-user
Konfirmasi bahwa jalur AuthUserFile ada dan dapat dibaca oleh proses web server. Pada NGINX, periksa blok server atau lokasi yang relevan:
location /secure/ {
auth_basic "Restricted";
auth_basic_user_file /etc/nginx/.htpasswd;
}
Verifikasi bahwa file .htpasswd berisi kredensial yang di-hash dengan benar. Gunakan htpasswd -v /etc/nginx/.htpasswd username untuk menguji kata sandi terhadap hash yang tersimpan.
Langkah 10: Periksa log server
Log server memberikan kebenaran yang sesungguhnya. Pada Apache:
tail -f /var/log/apache2/error.log | grep 401
Pada NGINX:
tail -f /var/log/nginx/error.log | grep 401
Untuk autentikasi tingkat aplikasi (Node.js, Django, Laravel), periksa output log aplikasi itu sendiri. Entri log sering kali menentukan apakah kegagalan disebabkan oleh header yang hilang, token yang tidak valid, atau kegagalan pencarian database.
Langkah 11: Verifikasi penerusan header reverse proxy
Jika aplikasi Anda berada di belakang NGINX yang bertindak sebagai reverse proxy, pastikan header Authorization diteruskan ke aplikasi upstream:
location / {
proxy_pass http://127.0.0.1:8000;
proxy_set_header Authorization $http_authorization;
proxy_pass_header Authorization;
}
Tanpa proxy_pass_header Authorization, NGINX menghapus header sebelum mencapai server aplikasi Anda — menyebabkan 401 yang terlihat seperti error klien tetapi sepenuhnya disebabkan oleh infrastruktur.
Langkah 12: Periksa aturan WAF dan firewall
Jika Anda menjalankan WAF (ModSecurity, Cloudflare WAF, AWS WAF), periksa apakah ada aturan yang mencocokkan dan memblokir permintaan yang mengandung header Authorization. Sementara atur WAF ke mode deteksi saja dan coba lagi. Jika 401 menghilang, perbaiki aturan yang bermasalah daripada menonaktifkan WAF sepenuhnya.
Langkah 13: Audit perilaku caching CDN
Pastikan CDN Anda tidak menyimpan cache respons 401. Di Cloudflare, atur Cache Rule untuk melewati cache pada endpoint terautentikasi. Di AWS CloudFront, konfigurasikan perilaku untuk meneruskan header Authorization ke origin — secara default, CloudFront menghapusnya, yang berarti origin Anda tidak pernah menerima kredensial dan selalu mengembalikan 401.
Mengimplementasikan Autentikasi yang Kuat: Praktik Terbaik untuk Pemilik Server
Jika Anda mengelola aplikasi web atau API — baik di lingkungan VPS Hosting maupun Dedicated Server — praktik-praktik ini mencegah error 401 mencapai pengguna Anda sejak awal.
Manajemen Siklus Hidup Token
Jangan pernah menerbitkan token tanpa kedaluwarsa yang ditentukan. Untuk OAuth 2.0, gunakan token akses berumur pendek (15–60 menit) yang dipasangkan dengan token refresh berumur panjang. Implementasikan refresh token proaktif: picu refresh ketika token akses memiliki kurang dari 20% sisa masa hidupnya, bukan setelah kedaluwarsa.
Access Token TTL: 15 minutes
Refresh Token TTL: 30 days (rotated on each use)
Refresh trigger: < 3 minutes remaining on access token
Untuk sistem berbasis JWT, implementasikan rotasi key dengan periode tenggang. Saat merotasi rahasia penandatanganan, pertahankan rahasia lama yang valid untuk satu masa hidup token tambahan agar token yang sedang berjalan tidak langsung dibatalkan.
Respons Error yang Bermakna
Respons 401 harus selalu menyertakan body yang membantu klien memahami apa yang harus dilakukan selanjutnya:
{
"error": "invalid_token",
"error_description": "The access token expired at 2024-01-15T10:30:00Z",
"error_uri": "https://api.example.com/docs/authentication"
}
Respons 401 yang samar yang hanya mengembalikan kode status memaksa pengembang untuk menebak alasan kegagalan, yang secara dramatis meningkatkan beban dukungan.
Logging dan Peringatan Autentikasi
Catat setiap kegagalan autentikasi dengan konteks yang cukup: timestamp, alamat IP, user agent, sumber daya yang diminta, dan alasan kegagalan. Atur peringatan untuk pola yang tidak normal — lonjakan 401 dari satu IP menunjukkan kesalahan konfigurasi atau serangan credential stuffing. Platform yang berjalan di Dedicated Server memiliki akses penuh ke log tingkat sistem dan dapat mengimplementasikan pipeline peringatan kustom tanpa batasan.
Transmisi Kredensial yang Aman
Kredensial autentikasi harus hanya berjalan melalui koneksi terenkripsi. Jika aplikasi Anda menangani login pengguna, Sertifikat SSL adalah hal yang tidak bisa ditawar — mengirimkan kredensial Basic Auth melalui HTTP biasa mengekspos nama pengguna dan kata sandi yang dikodekan Base64 dalam teks biasa di jaringan.
Pelingkupan dan Rotasi API Key
Terbitkan API key dengan cakupan minimum yang diperlukan. Implementasikan kebijakan rotasi key dan berikan klien mekanisme rotasi yang memungkinkan mereka menukar key tanpa downtime. Cabut key yang dikompromikan segera dan beri tahu klien yang terpengaruh melalui saluran yang terdokumentasi.
Pengujian Alur Autentikasi dalam CI/CD
Integrasikan pengujian alur autentikasi ke dalam pipeline deployment Anda. Suite pengujian yang menguji kredensial yang valid, token yang kedaluwarsa, header yang hilang, dan key yang dicabut akan menangkap regresi sebelum mencapai produksi. Ini sangat penting setelah pembaruan dependensi yang menyentuh middleware autentikasi.
Error 401 di Lingkungan Tertentu
WordPress
WordPress mengembalikan 401 pada REST API-nya (/wp-json/) ketika Application Password salah dikonfigurasi atau ketika plugin keamanan (Wordfence, iThemes Security) memblokir akses REST API. Periksa Settings > Permalinks dan simpan ulang — ini memperbarui aturan penulisan ulang yang dapat merusak endpoint autentikasi. Jika Anda mengelola WordPress di VPS dengan cPanel, verifikasi bahwa mod_rewrite diaktifkan dan bahwa .htaccess dapat ditulis.
cPanel dan Panel Kontrol Web Hosting
Direktori yang dilindungi kata sandi yang dikonfigurasi melalui cPanel menggunakan mod_authn_file Apache. Jika jalur file .htpasswd dalam .htaccess yang dihasilkan bersifat absolut dan document root berubah (umum setelah migrasi akun), jalur tersebut rusak dan setiap permintaan mengembalikan 401. Selalu gunakan jalur relatif atau verifikasi jalur absolut setelah migrasi apa pun. Lingkungan yang menggunakan Panel Kontrol VPS menyediakan akses sistem file langsung untuk memperbaiki jalur ini tanpa membuka tiket dukungan.
Klien Email dan Autentikasi SMTP
Server SMTP mengembalikan setara tingkat protokol dari 401 (535 Authentication credentials invalid) ketika kredensial klien email salah atau ketika server memerlukan STARTTLS dan klien mencoba autentikasi biasa. Jika Anda mengonfigurasi Email Hosting, pastikan klien email Anda dikonfigurasi dengan metode autentikasi yang benar (PLAIN, LOGIN, atau CRAM-MD5) dan bahwa TLS diterapkan sebelum kredensial dikirimkan.
Aplikasi Mobile
Aplikasi mobile sering mengalami error 401 setelah pengguna mengubah kata sandi mereka di web — token refresh yang tersimpan di aplikasi dibatalkan di sisi server tetapi aplikasi tidak memiliki mekanisme untuk mendeteksi ini hingga panggilan API berikutnya gagal. Implementasikan interceptor HTTP global yang menangkap respons 401, mencoba refresh token tepat sekali, dan jika refresh juga mengembalikan 401, mengarahkan pengguna ke layar login dengan pesan yang jelas.
Matriks Keputusan: Mendiagnosis Error 401 Anda
Gejala
Kemungkinan Penyebab
Tindakan Pertama
—
—
—
401 pada semua permintaan, termasuk yang sebelumnya berfungsi
Token kedaluwarsa atau dicabut
Periksa klaim `exp` token; picu refresh
401 hanya di browser, tidak di curl
Cookie rusak atau gangguan ekstensi
Hapus cookie; uji dalam incognito
401 hanya dari IP tertentu
Batas laju firewall atau pemblokiran IP
Periksa log WAF; whitelist jika sah
401 setelah migrasi server
Jalur `.htpasswd` rusak
Verifikasi jalur `AuthUserFile` dalam `.htaccess`
401 pada preflight OPTIONS
Kesalahan konfigurasi CORS
Tambahkan `Authorization` ke `Access-Control-Allow-Headers`
401 meskipun kredensial benar
Reverse proxy menghapus header
Tambahkan `proxy_pass_header Authorization` ke konfigurasi NGINX
401 pada sumber daya yang di-cache CDN
CDN menyajikan respons 401 yang di-cache
Lewati cache untuk rute terautentikasi
401 setelah pembaruan dependensi
Perubahan yang merusak middleware autentikasi
Tinjau changelog; periksa logika parsing header
Daftar Periksa Praktis Sebelum Mengeskalasi Error 401
Gunakan daftar periksa ini sebelum mengajukan tiket dukungan atau mengeskalasi ke tim infrastruktur Anda:
Menangkap respons HTTP mentah dengan curl -v dan mengonfirmasi nilai header WWW-Authenticateexp terhadap waktu server saat iniAuthorization cocok dengan skema yang diiklankan serverAuthorizationAuthorizationFAQ
Apa perbedaan antara HTTP 401 dan HTTP 403?
401 berarti server tidak dapat mengidentifikasi siapa Anda — autentikasi tidak ada atau tidak valid. 403 berarti server mengetahui siapa Anda tetapi telah memutuskan Anda tidak memiliki izin untuk mengakses sumber daya tersebut. Perbaiki 401 dengan menyediakan atau mengoreksi kredensial; perbaiki 403 dengan menyesuaikan aturan kontrol akses atau izin.
Mengapa API saya mengembalikan 401 bahkan ketika saya mengirim token yang benar?
Penyebab paling umum adalah kedaluwarsa token (periksa klaim exp), perbedaan waktu antara klien dan server (sinkronkan NTP), rahasia penandatanganan yang dirotasi yang membatalkan token yang ada, atau header Authorization yang dihapus oleh reverse proxy atau CDN sebelum mencapai server asal.
Bisakah error 401 disebabkan oleh kesalahan konfigurasi server daripada error klien?
Ya. File .htaccess yang salah dikonfigurasi, blok auth_basic NGINX yang diterapkan pada lokasi yang salah, reverse proxy yang menghapus header Authorization, atau aturan WAF yang memblokir permintaan terautentikasi semuanya dapat menghasilkan respons 401 bahkan ketika klien mengirim kredensial yang sepenuhnya valid.
Bagaimana cara mencegah error 401 yang disebabkan oleh kedaluwarsa token dalam aplikasi produksi?
Implementasikan refresh token proaktif — pantau sisa masa hidup token dan perbarui sebelum kedaluwarsa, bukan setelahnya. Untuk OAuth 2.0, gunakan endpoint token refresh untuk mendapatkan token akses baru ketika yang saat ini memiliki kurang dari 20% TTL-nya yang tersisa. Tambahkan interceptor respons HTTP global yang secara otomatis menangani respons 401 dengan mencoba refresh token tunggal sebelum mencoba ulang permintaan asli.
Apakah menghapus cookie selalu memperbaiki error 401 di browser?
Hanya jika penyebab utamanya adalah cookie sesi yang rusak atau usang. Jika 401 disebabkan oleh kesalahan konfigurasi sisi server, API key yang kedaluwarsa, atau pemblokiran firewall, menghapus cookie tidak akan berpengaruh. Gunakan jendela incognito sebagai langkah diagnostik — jika 401 tetap ada dalam incognito, masalahnya berada di sisi server atau jaringan, bukan di sisi browser.