Basic Auth Header Generator

Den Basic-Auth-Header-Generator verwenden

1. Trage den Benutzernamen genau so ein, wie die API oder der Server ihn erwartet. Typische Muster sind api-user, eine Konto-E-Mail-Adresse, eine OAuth-Client-ID oder ein wörtlicher Benutzername wie admin für eine Router-Statusseite.
2. Trage das Passwort oder API-Token in das zweite Feld ein. Schalte Anzeigen ein, wenn du nachprüfen möchtest, ob kein führendes Leerzeichen vorhanden ist; das Feld kodiert bei jedem Tastendruck neu.
3. Kopiere die Header-Zeile, um sie direkt in ein -H-Flag, einen Postman-Header oder ein fetch-headers-Objekt einzufügen. Oder kopiere nur den Base64-Token, wenn dein Client ein separates Feld für die kodierten Anmeldedaten hat.
4. Einfügen und senden. Der Header ist die vollständig verwendungsbereite Zeile: Authorization: Basic dXNlcjpzZWNyZXQ=. Kein zusätzliches Umschließen oder Anführungszeichen nötig.

Was der Generator im Hintergrund macht

Das Werkzeug implementiert RFC 7617, die moderne Definition von HTTP-Basic-Authentication. Es verknüpft Benutzername, einen einzelnen Doppelpunkt und Passwort zu einem UTF-8-String und führt diesen nach einem TextEncoder-Durchlauf durch btoa(), um Nicht-ASCII-Zeichen korrekt zu behandeln. Das Ergebnis wird als Authorization: Basic <token> verpackt. Beide Bestandteile werden angezeigt, weil einige Clients (ältere Versionen von curl, bestimmte SOAP-Bibliotheken, benutzerdefinierte OAuth-Brücken) den rohen Token benötigen.

Die Kodierung erfolgt bei jedem Tastendruck und verlässt die Seite nie. Es gibt keinen fetch-Aufruf, keinen Analyse-Ping mit den Anmeldedaten und keinen localStorage-Schreibvorgang. Das Neuladen der Seite löscht beide Felder. Du kannst dies überprüfen, indem du die Entwicklertools öffnest, zum Netzwerk-Panel wechselst und beobachtest: Während du tippst, passiert nichts.

Wann dieses Werkzeug sich lohnt

• Einen Authorization-Header in eine Bruno-, Insomnia- oder Postman-Sammlung einfügen, die keinen Basic-Auth-Helfer hat oder dessen Helfer bei Benutzernamen mit @ fehlerhafte Ausgaben erzeugt.
• Einen curl-Einzeiler gegen einen CI-Artefakt-Server, ein internes Jenkins oder ein selbst gehostetes JFrog Artifactory erstellen: curl -H "Authorization: Basic ..." https://... vermeidet das Protokollieren des Passworts in der Shell-History.
• Den Auth-Header für eine schnelle GitHub-API-Abfrage mit einem Personal-Access-Token aufbauen (Benutzername = dein Handle, Passwort = der PAT), bevor eine ordentliche Client-Bibliothek eingebunden wird.
• Header für Staging-Umgebungen hinter gemeinsamen HTTP-Basic-Gates erzeugen - wie sie Vercel-Vorschau-Deployments oder passwortgeschützte Netlify-Branches schützen.
• Den Wert für einen Webhook-Empfänger erzeugen, der Basic Auth erfordert: Dienste wie Hookdeck, Svix oder ein Cloudflare-Worker-Proxy akzeptieren den kodierten Token häufig in ihrem Dashboard.
• Eine 401-Fehlersuche nach einem Credential-Reset, bei der der kodierte Wert Byte für Byte gegen das überprüft werden muss, was der Server erwartet.

Typische Fallstricke und Sonderfälle

• Doppelpunkte im Passwort brechen Basic Auth. RFC 7617 verbietet das Doppelpunktzeichen im Benutzernamen (es ist der Trenner), aber das Passwort darf Doppelpunkte enthalten. Einige ältere Parser teilen beim ersten Doppelpunkt und scheitern; wenn dein Passwort einen enthält, wechsle zu einem Token-basierten Verfahren.
• Nicht-ASCII-Benutzernamen oder -Passwörter erfordern einen expliziten Zeichensatz. Browser verwenden standardmäßig UTF-8; ältere Server verwenden ISO-8859-1. RFC 7617 fügte den optionalen charset="UTF-8"-Challenge-Parameter zur Unterscheidung hinzu. Wenn das Passwort Akzentzeichen enthält und der Server ablehnt, ist die Kodierungsinkongruenz der übliche Schuldige.
• Base64 ist Kodierung, keine Verschlüsselung. Jeder mit dem Header-Wert kann die Anmeldedaten in einer Zeile Python dekodieren (base64.b64decode("...").decode()) oder mit einem einfachen btoa-Umkehrbefehl. Sende den Header nie über einfaches HTTP.
• Protokollierung ist der Feind. Die meisten Reverse-Proxys, Load-Balancer und Zugriffsprotokolle zeichnen Request-Header auf. Der Authorization-Header ist eines der am häufigsten durchgesickerten Geheimnisse in S3-Buckets und ELK-Clustern; bereinige ihn explizit.
• Leerer Benutzername ist technisch erlaubt, wird aber von vielen Servern als fehlerhaft abgelehnt. Wenn ein Dienst einen Token im Benutzernamenfeld akzeptiert, lasse das Passwort leer und nicht umgekehrt.
• Passwörter mit Zeilenumbrüchen werden von einigen HTTP-Bibliotheken vor der Kodierung abgeschnitten. Entferne \n und \r vor dem Einfügen.

HTTP-Basic-Auth und RFC 7617

HTTP-Basic wurde in RFC 1945 zusammen mit HTTP/1.0 definiert, 1999 in RFC 2617 verfeinert und 2015 in RFC 7617 neu spezifiziert, um die Zeichensatzbehandlung zu klären und den charset-Challenge-Parameter hinzuzufügen. Das Schema ist das einfachste, das die Standardbibliothek definiert: ein einziger Roundtrip, kein Nonce, kein Wiederholungsschutz, kein clientseitiges Hashing. Diese Einfachheit ist auch der Grund, warum es überlebt hat: jeder HTTP-Client spricht es, jeder Reverse-Proxy kann es validieren und jedes Framework unterstützt es ohne Abhängigkeit. Der Kompromiss ist, dass es keinen eingebauten Schutz gegen das Abfangen von Anmeldedaten gibt, sodass die Sicherheit des Kanals vollständig auf TLS beruht.

Alternativen und wann sie besser sind

Innerhalb von curl übernimmt curl -u user:pass die Kodierung für dich und gibt die Anmeldedaten nie auf stdout aus. In Node ist Buffer.from("user:pass").toString("base64") eine Zeile. Bearer-Token-Auth (Authorization: Bearer ...) ist der moderne Ersatz und ist das, was jeder OAuth-, JWT- oder API-Token-Flow verwendet; sie vermeidet das Problem mit der unverschlüsselten Übertragung und unterstützt Scopes. Mutual TLS ersetzt beides für Dienst-zu-Dienst-Auth in Zero-Trust-Umgebungen. Verwende diesen Generator, wenn du eine Basic-Auth-Integration interaktiv im Browser debuggst, keine halb aufgebauten Anmeldedaten in deiner Shell-History haben möchtest und das Passwort nicht in einen Remote-Dienst wie base64encode.org oder jwt.io einfügen möchtest.