BrowserTools
Publicidad
Inicio / Codificadores / Generador de cabeceras Basic Auth

Generador de cabeceras Basic Auth

Construye y decodifica cabeceras de autenticación HTTP Basic a partir de un nombre de usuario y una contraseña, enteramente en tu navegador.

Cargando Generador de cabeceras Basic Auth… Si no ocurre nada, activa JavaScript.

La autenticación HTTP Basic es el esquema de credenciales más simple definido para la web, especificado en el RFC 7617. Para autenticarse, un cliente combina un nombre de usuario y una contraseña en una sola cadena separada por dos puntos, la codifica en base64 y la envía en una cabecera Authorization con el prefijo Basic. Una solicitud a un endpoint protegido lleva por tanto una cabecera como Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l. Como el esquema está integrado en prácticamente todos los clientes HTTP, bibliotecas y gateways de API, sigue siendo una opción común para servicios internos, scripts, webhooks y pruebas rápidas de API donde un flujo completo basado en tokens sería excesivo.

Preguntas frecuentes

¿Mi nombre de usuario y mi contraseña se envían a algún sitio?
No. Tanto la codificación como la decodificación se ejecutan enteramente en tu navegador usando API integradas. Las credenciales que escribes nunca se suben, registran ni transmiten a ningún servidor. La herramienta sigue funcionando sin conexión una vez cargada la página, así que es seguro usarla con credenciales reales durante el desarrollo.
¿Cómo se construye una cabecera Basic auth?
El nombre de usuario y la contraseña se unen con un solo signo de dos puntos en una cadena, por ejemplo aladdin:opensesame. Esa cadena se codifica como bytes UTF-8 y luego en base64, produciendo YWxhZGRpbjpvcGVuc2VzYW1l. La cabecera final es la palabra Basic, un espacio y ese token: Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l.
¿Es segura la autenticación Basic?
Basic auth no ofrece confidencialidad por sí sola. El token base64 es trivialmente reversible, así que cualquiera que lo intercepte conoce la contraseña al instante. Solo es seguro cuando se envía sobre HTTPS, donde TLS cifra toda la solicitud incluida la cabecera. Nunca envíes Basic auth sobre HTTP plano, y prefiere esquemas basados en tokens como los Bearer tokens o OAuth para cualquier cosa más allá del uso interno simple.
¿Qué pasa si mi contraseña contiene dos puntos?
Solo el primer signo de dos puntos separa el nombre de usuario de la contraseña, así que una contraseña puede contener con seguridad dos puntos adicionales. El nombre de usuario, sin embargo, no debe contener dos puntos, porque el servidor divide en el primero. Al decodificar, esta herramienta también divide en el primer signo de dos puntos, conservando cualquier otro como parte de la contraseña.
¿Maneja correctamente los caracteres no ASCII?
Sí. La herramienta codifica el nombre de usuario y la contraseña como UTF-8 antes del base64, así que las letras acentuadas, los alfabetos no latinos y los emoji se conservan exactamente. El base64 simple del navegador solo admite Latin-1 y lanzaría un error o corrompería esos caracteres, así que este enfoque seguro para UTF-8 coincide con lo que hacen los clientes y servidores HTTP conformes bajo el RFC 7617.
¿Puedo decodificar un token que ya tengo?
Sí. Cambia a la pestaña Decode y pega un token base64 escueto o una cabecera Authorization completa. La herramienta elimina automáticamente los prefijos Authorization y Basic, decodifica el valor en base64 y lo divide en el primer signo de dos puntos para mostrar el nombre de usuario y la contraseña originales.
¿Por qué a veces la decodificación falla o no muestra dos puntos?
La decodificación falla si el valor pegado no es base64 válido, a menudo por espacios sueltos, una copia truncada o un esquema de autenticación distinto como Bearer. Si se decodifica pero no contiene dos puntos, el token probablemente no sea un par de credenciales Basic auth, ya que el esquema siempre incrusta una cadena usuario:contraseña.
¿Cómo uso la cabecera generada con curl?
Copia la línea de cabecera completa y pásala con la opción -H, por ejemplo curl -H "Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l" https://api.example.com. Como alternativa, curl puede construir la cabecera por ti con la opción -u: curl -u aladdin:opensesame https://api.example.com produce el mismo resultado.

Acerca de Generador de cabeceras Basic Auth

Este generador convierte un nombre de usuario y una contraseña tanto en la cabecera Authorization completa como en el token base64 escueto, cada uno con su propio botón de copiar para que puedas soltar el valor directamente en curl, Postman, una llamada fetch o un archivo de configuración. Usa un codificador seguro para UTF-8, lo que importa porque el base64 simple en el navegador solo maneja caracteres Latin-1 de forma predeterminada. Si tu nombre de usuario o contraseña contiene letras acentuadas, emoji o cualquier carácter no ASCII, la herramienta codifica los bytes correctamente para que el servidor receptor reconstruya las credenciales exactas que escribiste. La dirección inversa también está soportada: pega un token base64 o una cabecera Authorization completa y la herramienta lo divide de nuevo en el nombre de usuario y la contraseña que representa.

Todo ocurre localmente en tu navegador. Las credenciales que introduces nunca se suben, transmiten ni almacenan en ningún servidor, lo que hace que la herramienta sea segura para nombres de usuario y contraseñas reales durante el desarrollo y la depuración. Dicho esto, la autenticación Basic no ofrece confidencialidad por sí sola. El paso base64 es reversible por cualquiera, así que es codificación, no cifrado. Basic auth solo debería enviarse sobre HTTPS, donde TLS protege la cabecera en tránsito. Usa esta herramienta para construir cabeceras de prueba y para inspeccionar tokens que hayas recibido, y guarda las credenciales de producción en un almacén de secretos adecuado en lugar de codificarlas a mano en los scripts.

El esquema de autenticación más antiguo que sigue en la web

La autenticación HTTP Basic se remonta a la especificación original de HTTP/1.0 de 1996 y ha sobrevivido esencialmente sin cambios desde entonces. Su mecanismo es casi cómicamente simple: toma un nombre de usuario y una contraseña, pégalos juntos con dos puntos, codifica el resultado en base64 y envíalo. No hay hashing, ni nonce, ni apretón de manos de desafío-respuesta del tipo que se encuentra en la autenticación Digest. El paso base64 existe puramente para hacer que bytes arbitrarios de credenciales sean seguros de colocar en una cabecera HTTP, no para ocultar nada.

Esa simplicidad es exactamente por qué sigue estando en todas partes. Casi todas las bibliotecas HTTP exponen un ayudante de una línea para ella, los gateways de API y los proxies inversos la soportan de forma nativa, y los desarrolladores pueden construir la cabecera a mano al depurar. Los microservicios internos, los endpoints de monitorización, los registros de paquetes e innumerables sistemas heredados todavía dependen de ella porque se entiende universalmente y no requiere infraestructura adicional. La pega es que las credenciales viajan en cada solicitud individual, así que la seguridad de todo el esquema descansa enteramente en la capa de transporte que hay debajo.

Las famosas credenciales de ejemplo aladdin y opensesame, que aparecen en el RFC 7617 y en muchos tutoriales, son un guiño al cuento de Alí Babá y los cuarenta ladrones, donde opensesame (ábrete sésamo) es la frase mágica que abre la cueva oculta. Es una metáfora apropiada para un esquema de autenticación: di el secreto correcto y la puerta se abre. La lección que comparten el cuento y el esquema es la misma, un secreto pronunciado o transmitido solo es tan seguro como los oídos que puedan estar escuchando, que es por lo que Basic auth pertenece estrictamente dentro de un túnel HTTPS.

Publicidad
Publicidad
Publicidad