Basic-Auth-Header-Generator
Erstelle und dekodiere HTTP-Basic-Authentifizierungs-Header aus einem Benutzernamen und einem Passwort, vollständig in deinem Browser.
Basic-Auth-Header-Generator wird geladen… Wenn nichts passiert, aktiviere JavaScript.
Die HTTP-Basic-Authentifizierung ist das einfachste für das Web definierte Anmeldeschema, festgelegt im RFC 7617. Zur Authentifizierung kombiniert ein Client einen Benutzernamen und ein Passwort zu einer einzigen, durch einen Doppelpunkt getrennten Zeichenkette, kodiert diese Zeichenkette in base64 und sendet sie in einem Authorization-Header mit dem vorangestellten Wort Basic. Eine Anfrage an einen geschützten Endpunkt trägt daher einen Header wie Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l. Da das Schema in praktisch jedem HTTP-Client, jeder Bibliothek und jedem API-Gateway eingebaut ist, bleibt es eine gängige Wahl für interne Dienste, Skripte, Webhooks und schnelle API-Tests, bei denen ein vollständiger tokenbasierter Ablauf überzogen wäre.
Häufig gestellte Fragen
Werden mein Benutzername und mein Passwort irgendwohin gesendet?
Wie wird ein Basic-auth-Header aufgebaut?
Ist die Basic-Authentifizierung sicher?
Was passiert, wenn mein Passwort einen Doppelpunkt enthält?
Behandelt es Nicht-ASCII-Zeichen korrekt?
Kann ich ein Token dekodieren, das ich bereits habe?
Warum schlägt die Dekodierung manchmal fehl oder zeigt keinen Doppelpunkt?
Wie verwende ich den erzeugten Header mit curl?
Über Basic-Auth-Header-Generator
Dieser Generator verwandelt einen Benutzernamen und ein Passwort sowohl in den vollständigen Authorization-Header als auch in das bloße base64-Token, jeweils mit einem eigenen Kopierknopf, sodass du den Wert direkt in curl, Postman, einen fetch-Aufruf oder eine Konfigurationsdatei ablegen kannst. Er verwendet einen UTF-8-sicheren Kodierer, was wichtig ist, weil einfaches base64 im Browser standardmäßig nur Latin-1-Zeichen verarbeitet. Wenn dein Benutzername oder Passwort Buchstaben mit Akzent, Emoji oder ein beliebiges Nicht-ASCII-Zeichen enthält, kodiert das Werkzeug die Bytes korrekt, sodass der empfangende Server genau die Anmeldedaten rekonstruiert, die du eingegeben hast. Die umgekehrte Richtung wird ebenfalls unterstützt: Füge ein base64-Token oder einen vollständigen Authorization-Header ein, und das Werkzeug teilt es wieder in den Benutzernamen und das Passwort auf, die es darstellt.
Alles geschieht lokal in deinem Browser. Die Anmeldedaten, die du eingibst, werden niemals hochgeladen, übertragen oder auf einem Server gespeichert, was das Werkzeug für echte Benutzernamen und Passwörter während der Entwicklung und Fehlersuche sicher macht. Allerdings bietet die Basic-Authentifizierung für sich allein keine Vertraulichkeit. Der base64-Schritt ist von jedem umkehrbar, es handelt sich also um Kodierung, nicht um Verschlüsselung. Basic auth sollte immer nur über HTTPS gesendet werden, wo TLS den Header während der Übertragung schützt. Verwende dieses Werkzeug, um Header zum Testen zu erstellen und um Token zu untersuchen, die du erhalten hast, und bewahre Produktionsanmeldedaten in einem ordentlichen Geheimnisspeicher auf, statt sie fest in Skripte zu schreiben.
Das älteste Authentifizierungsschema, das es noch im Web gibt
Die HTTP-Basic-Authentifizierung geht auf die ursprüngliche HTTP/1.0-Spezifikation von 1996 zurück und hat seither im Wesentlichen unverändert überlebt. Ihr Mechanismus ist fast komisch einfach: Nimm einen Benutzernamen und ein Passwort, klebe sie mit einem Doppelpunkt zusammen, kodiere das Ergebnis in base64 und sende es. Es gibt kein Hashing, keinen Nonce, keinen Challenge-Response-Handshake der Art, wie man ihn bei der Digest-Authentifizierung findet. Der base64-Schritt existiert allein dazu, beliebige Anmeldedaten-Bytes sicher in einem HTTP-Header unterzubringen, nicht um irgendetwas zu verbergen.
Genau diese Einfachheit ist der Grund, warum es überall bleibt. Fast jede HTTP-Bibliothek stellt dafür einen einzeiligen Helfer bereit, API-Gateways und Reverse-Proxys unterstützen es nativ, und Entwickler können den Header beim Debuggen von Hand zusammenbauen. Interne Microservices, Überwachungsendpunkte, Paket-Registries und unzählige Altsysteme verlassen sich noch immer darauf, weil es allgemein verstanden wird und keine zusätzliche Infrastruktur erfordert. Der Haken ist, dass die Anmeldedaten bei jeder einzelnen Anfrage mitreisen, sodass die Sicherheit des gesamten Schemas vollständig auf der darunterliegenden Transportschicht ruht.
Die berühmten Beispiel-Anmeldedaten aladdin und opensesame, die im RFC 7617 und in vielen Tutorials auftauchen, sind eine Anspielung auf das Märchen von Ali Baba und den vierzig Räubern, in dem opensesame (Sesam, öffne dich) die Zauberformel ist, die die verborgene Höhle öffnet. Es ist eine passende Metapher für ein Authentifizierungsschema: Sprich das richtige Geheimnis aus, und die Tür schwingt auf. Die Lehre, die das Märchen und das Schema teilen, ist dieselbe, ein gesprochenes oder übertragenes Geheimnis ist nur so sicher wie die Ohren, die vielleicht mithören, weshalb Basic auth strikt in einen HTTPS-Tunnel gehört.