Generador de cabeceras Basic Auth
Construye y decodifica cabeceras de autenticación HTTP Basic a partir de un nombre de usuario y una contraseña, enteramente en tu navegador.
Cargando Generador de cabeceras Basic Auth… Si no ocurre nada, activa JavaScript.
La autenticación HTTP Basic es el esquema de credenciales más simple definido para la web, especificado en el RFC 7617. Para autenticarse, un cliente combina un nombre de usuario y una contraseña en una sola cadena separada por dos puntos, la codifica en base64 y la envía en una cabecera Authorization con el prefijo Basic. Una solicitud a un endpoint protegido lleva por tanto una cabecera como Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l. Como el esquema está integrado en prácticamente todos los clientes HTTP, bibliotecas y gateways de API, sigue siendo una opción común para servicios internos, scripts, webhooks y pruebas rápidas de API donde un flujo completo basado en tokens sería excesivo.
Preguntas frecuentes
¿Mi nombre de usuario y mi contraseña se envían a algún sitio?
¿Cómo se construye una cabecera Basic auth?
¿Es segura la autenticación Basic?
¿Qué pasa si mi contraseña contiene dos puntos?
¿Maneja correctamente los caracteres no ASCII?
¿Puedo decodificar un token que ya tengo?
¿Por qué a veces la decodificación falla o no muestra dos puntos?
¿Cómo uso la cabecera generada con curl?
Acerca de Generador de cabeceras Basic Auth
Este generador convierte un nombre de usuario y una contraseña tanto en la cabecera Authorization completa como en el token base64 escueto, cada uno con su propio botón de copiar para que puedas soltar el valor directamente en curl, Postman, una llamada fetch o un archivo de configuración. Usa un codificador seguro para UTF-8, lo que importa porque el base64 simple en el navegador solo maneja caracteres Latin-1 de forma predeterminada. Si tu nombre de usuario o contraseña contiene letras acentuadas, emoji o cualquier carácter no ASCII, la herramienta codifica los bytes correctamente para que el servidor receptor reconstruya las credenciales exactas que escribiste. La dirección inversa también está soportada: pega un token base64 o una cabecera Authorization completa y la herramienta lo divide de nuevo en el nombre de usuario y la contraseña que representa.
Todo ocurre localmente en tu navegador. Las credenciales que introduces nunca se suben, transmiten ni almacenan en ningún servidor, lo que hace que la herramienta sea segura para nombres de usuario y contraseñas reales durante el desarrollo y la depuración. Dicho esto, la autenticación Basic no ofrece confidencialidad por sí sola. El paso base64 es reversible por cualquiera, así que es codificación, no cifrado. Basic auth solo debería enviarse sobre HTTPS, donde TLS protege la cabecera en tránsito. Usa esta herramienta para construir cabeceras de prueba y para inspeccionar tokens que hayas recibido, y guarda las credenciales de producción en un almacén de secretos adecuado en lugar de codificarlas a mano en los scripts.
El esquema de autenticación más antiguo que sigue en la web
La autenticación HTTP Basic se remonta a la especificación original de HTTP/1.0 de 1996 y ha sobrevivido esencialmente sin cambios desde entonces. Su mecanismo es casi cómicamente simple: toma un nombre de usuario y una contraseña, pégalos juntos con dos puntos, codifica el resultado en base64 y envíalo. No hay hashing, ni nonce, ni apretón de manos de desafío-respuesta del tipo que se encuentra en la autenticación Digest. El paso base64 existe puramente para hacer que bytes arbitrarios de credenciales sean seguros de colocar en una cabecera HTTP, no para ocultar nada.
Esa simplicidad es exactamente por qué sigue estando en todas partes. Casi todas las bibliotecas HTTP exponen un ayudante de una línea para ella, los gateways de API y los proxies inversos la soportan de forma nativa, y los desarrolladores pueden construir la cabecera a mano al depurar. Los microservicios internos, los endpoints de monitorización, los registros de paquetes e innumerables sistemas heredados todavía dependen de ella porque se entiende universalmente y no requiere infraestructura adicional. La pega es que las credenciales viajan en cada solicitud individual, así que la seguridad de todo el esquema descansa enteramente en la capa de transporte que hay debajo.
Las famosas credenciales de ejemplo aladdin y opensesame, que aparecen en el RFC 7617 y en muchos tutoriales, son un guiño al cuento de Alí Babá y los cuarenta ladrones, donde opensesame (ábrete sésamo) es la frase mágica que abre la cueva oculta. Es una metáfora apropiada para un esquema de autenticación: di el secreto correcto y la puerta se abre. La lección que comparten el cuento y el esquema es la misma, un secreto pronunciado o transmitido solo es tan seguro como los oídos que puedan estar escuchando, que es por lo que Basic auth pertenece estrictamente dentro de un túnel HTTPS.