Authentifizierung in APIs: API-Key, Basic Auth

In den bisherigen Lektionen haben wir gelernt, wie eine REST-API aufgebaut wird – mit HTTP-Methoden, sauberen URL-Strukturen und Headern. Eine offene API wäre aber ein Sicherheitsalbtraum – jede*r könnte deine Daten lesen oder ändern. Es braucht einen Türsteher: Authentifizierung (wer bist du?) und Autorisierung (was darfst du?).

Diese Lektion ist der Einstieg ins Sicherheits-Thema. Du lernst die zwei einfachsten Verfahren – API-Keys und Basic Authentication – mit allen Vor- und Nachteilen. In L5 kommt dann JWT, in L6 das moderne OAuth2/OIDC. Wer diese Basis hier sicher beherrscht, hat einen leichteren Einstieg in die Folgelektionen.

1) Authentifizierung vs. Autorisierung – die zwei A's

Zwei Begriffe, die ständig verwechselt werden, aber etwas grundlegend Verschiedenes bedeuten. Eine Analogie hilft: stell dir einen Eingangsbereich vor. Beim Pförtner zeigst du deinen Ausweis – das ist Authentifizierung, der Pförtner stellt fest, dass du wirklich „Anna Müller" bist. Dann schaut er in eine Liste: darf Anna in Raum 305? Das ist Autorisierung, die Prüfung der Berechtigung.

Die zwei A's: Authentifizierung und Autorisierung

Authentifizierung

engl. Authentication, oft „AuthN"

Wer bist du? Identitätsprüfung. Der Nutzer / Client beweist, wer er ist – mit Passwort, Token, Schlüssel, biometrischem Merkmal. Falsche Antwort → 401 Unauthorized.

Autorisierung

engl. Authorization, oft „AuthZ"

Was darfst du? Berechtigungsprüfung. Nachdem klar ist, wer du bist, prüft das System: darf diese Person das tun? Falsche Antwort → 403 Forbidden.

Eselsbrücke für die Statuscodes (aus L2): 401 = „ich weiß nicht, wer du bist", 403 = „ich weiß, wer du bist, aber du darfst das nicht". Diese Unterscheidung ist klausurrelevant und wird gerne mit einer Beispielsituation abgefragt. Verwirrend: der HTTP-Header heißt Authorization – obwohl er für Authentifizierung da ist. Historische Inkonsequenz von HTTP.

2) Die drei Klassiker im Überblick

Es gibt einen ganzen Werkzeugkasten an Auth-Verfahren für APIs. Die drei wichtigsten, mit denen du täglich umgehst:

Die drei wichtigsten Auth-Methoden

API-Key einfachst

Sicherheit: niedrig

Komplexität: sehr gering

Typischer Einsatz: Server-zu-Server

Ein langer geheimer String pro Konsument. Wird im Header oder Query mitgegeben: X-API-Key: 7f3a-9b2c-.... Der Server schlägt nach: gehört dieser Key zu einem aktiven Konto?

+ trivial zu implementieren, keine Sessions, gut für Service-Integration

– keine User-Identität, bei Leak komplett kompromittiert, schwer zu rotieren

Basic Authentication Web-Standard

Sicherheit: nur mit HTTPS

Komplexität: gering

Typischer Einsatz: intern, Admin-APIs

Username + Passwort werden in jedem Request mitgesendet. Im Header: Authorization: Basic <base64(user:pass)>. Browser zeigen den klassischen Login-Dialog automatisch.

+ HTTP-Standard, von Browsern nativ unterstützt, einfach

– Passwort in jedem Request, Base64 ist NICHT Verschlüsselung!, kein Logout

Token-basiert (JWT / Bearer) heute Standard

Sicherheit: hoch

Komplexität: mittel

Typischer Einsatz: Web, Mobile, SPA

Einmaliger Login mit Username/Passwort → Server gibt ein Token aus. Bei Folge-Requests: Authorization: Bearer eyJhbGc.... Passwort nur einmal im Spiel. Vertieft in L5 JWT.

+ Passwort nur einmal übertragen, Token mit Ablauf, mit JWT sogar self-contained

– Token-Management nötig (Refresh, Revocation), komplexer

Reihenfolge der Einführung in diesem Kurs: erst API-Key + Basic (diese Lektion), dann JWT (L5), dann OAuth2 (L6). In der Praxis triffst du fast nur noch Token-basierte Verfahren – aber die Klassiker zu kennen hilft, das Folgende zu verstehen.

3) API-Key: der einfachste Türsteher

Ein API-Key ist im Grunde ein langer Zufalls-String, den der Anbieter einer API generiert und seinen Kunden gibt. Wer den Key hat, darf rein. Wer keinen hat, fliegt raus. Wie ein Eintritts-Wristband im Schwimmbad: niemand prüft deinen Ausweis, nur das Wristband zählt.

Im Request wird der Key meist als Header mitgesendet (manchmal auch als Query-Parameter, was aber weniger sicher ist, weil URLs in Logs landen):

GET /api/products HTTP/1.1
Host: api.example.com
X-API-Key: 7f3a9b2c-4d8e-1f0a-c5b7-2e9d6a8b1c4f

Server-Logik: der Key wird in einer Tabelle nachgeschlagen, dort sind Account, Berechtigungen, eventuelle Rate-Limits hinterlegt. Wenn der Key gültig ist, geht der Request durch. Sonst 401 Unauthorized.

Typische Einsatzbereiche: Service-zu-Service-Integration (dein Backend ruft eine Wetter-API auf), Test-/Sandbox-APIs, Stripe-API für Zahlungen, Mailchimp, Twilio. Überall, wo nicht ein einzelner Mensch, sondern ein technisches System der Konsument ist.

Wichtig: ein API-Key sagt nichts über die Person. Wenn drei Mitarbeiter den gleichen Key benutzen, weiß der Server nicht, wer gerade anfragt – nur „jemand mit diesem Key war's". Für Endnutzer-Apps ist das selten passend.

4) Basic Authentication: der Klassiker aus den 90ern

Basic Auth ist im HTTP-Standard von Anfang an enthalten. Der Client sendet Username und Passwort mit jedem Request mit, in einem speziellen Format: username:password wird Base64-kodiert und im Authorization-Header gesendet:

Basic-Auth-Decoder: spielt selbst

Username

Passwort

⚠ Base64 ist keine Verschlüsselung – jeder kann das wieder dekodieren. Klick „Decode" oben und sieh's selbst. Nur HTTPS schützt das wirklich.

Wichtigste Erkenntnis: das, was im Header landet, ist nicht verschlüsselt. Base64 ist eine simple Umkodierung (binär → ASCII), keine Sicherheits-Funktion. Jede*r mit Zugriff auf die Netzwerk-Daten kann das Passwort im Klartext lesen. Deshalb: Basic Auth ohne HTTPS = grobes Sicherheitsrisiko. Mit HTTPS ist die Übertragung zwar geschützt, aber das Passwort liegt trotzdem in jedem Request im Speicher des Clients und auf dem Server – Angriffsfläche bleibt groß.

Vorteil von Basic Auth: HTTP-Standard, von jedem Browser nativ unterstützt. Wenn der Server mit 401 und Header WWW-Authenticate: Basic antwortet, zeigt der Browser automatisch ein Login-Popup an.

Nachteile: das Passwort wandert mit jedem Request mit (kein Logout möglich, kein Ablaufdatum), bei Leak ist alles weg, kein Refresh-Mechanismus. Heute hauptsächlich noch für interne Admin-Endpunkte, simple Skript-Aufrufe und im Linux-Ökosystem (curl, wget) anzutreffen.

5) API-Key vs. Basic Auth: Entscheidungshilfe

Beide Verfahren sind „simpel". Wann nimmt man was?

Welches Verfahren wann?

API-Key passt, wenn …

… ein Service oder Skript die API nutzt, nicht ein Mensch. Die Identität ist „dieser Kunde", nicht „dieser User". Beispiel: ein Cron-Job ruft täglich eine Wetter-API ab.

Basic Auth passt, wenn …

… ein Browser oder ein simples Tool die API nutzt, die Identität ist „ein User mit User+Passwort". Beispiel: interne Admin-Seite, von Hand mit curl getestet.

Nichts von beidem passt, wenn …

… du eine moderne Web-App, Mobile-App oder Multi-Service-Architektur baust. Dann brauchst du Tokens. Siehe L5 und L6.

6) Der Auth-Flow im Bild

Damit du die Mechanik mental vor Augen hast, hier der typische Ablauf eines geschützten API-Aufrufs als Sequenzdiagramm:

Auth-Flow bei einer geschützten API

Beobachte die saubere Trennung: Schritte 3-5 sind Authentifizierung („wer bist du?"). Schritt 6 ist Autorisierung („darfst du das?"). Beide laufen jedes Mal ab – jeder Request muss seine Identität neu beweisen (Stateless-Prinzip von REST, vgl. K50 L8). Bei Token-basierten Verfahren ändert sich dieser Flow leicht (vor allem der Initial-Login dauert), aber die Grundstruktur bleibt: Request → AuthN → AuthZ → Antwort.

7) Sicherheits-Mindeststandards

Egal welches Verfahren – diese Regeln sind nicht verhandelbar. Wer sie ignoriert, baut Sicherheitslücken ein, die in Penetration-Tests sofort auffallen:

Hygiene-Regeln

✓ HTTPS Pflicht

Niemals Auth-Daten über unverschlüsseltes HTTP senden. Auch nicht „nur intern". Vgl. K11.

✓ Passwörter gehasht

In der DB nie im Klartext. Immer mit bcrypt/Argon2 + Salt. Vgl. K11 Hashing.

✓ Keys rotierbar

Bei Verdacht auf Leak muss man den Key sofort sperren / neu generieren können. Plane das in Schema und UI ein.

✓ Rate Limits

Pro Key / User Anfragelimit pro Minute. Schützt vor Brute-Force-Angriffen. Vgl. L8.

✓ Logging

Jeder fehlgeschlagene Login wird protokolliert. Auffälliges Muster → Alarm. Nicht Passwort loggen!

✗ Keys im Frontend

Niemals API-Key im JavaScript hardcoden – jeder kann ihn aus dem Browser auslesen.

✗ Keys in URL

?api_key=... – wandert in Server-Logs und Browser-History. Im Header ist sicherer.

✗ Keys im Git

Keys gehören in Environment-Variablen oder Secret-Stores, nicht ins Repository. Klassischer Anfänger-Fehler.

Tipp aus der Praxis: niemand merkt sofort, dass ein API-Key in einem Public-GitHub-Repo gelandet ist. Spezielle Crawler scannen GitHub permanent nach AWS-Keys, Stripe-Keys, GitHub-Tokens – und nutzen sie binnen Minuten für Bitcoin-Mining oder Spam-Versand. GitHub selbst hat einen Secret-Scanner, der manche Patterns erkennt und Anbieter benachrichtigt. Aber verlasse dich nicht darauf – nutze immer Environment-Variablen.

8) Beispiel-Implementierung: Server-Logik

Wie sieht das im Code aus? Hier eine vereinfachte Middleware in Python (Flask), die einen API-Key prüft:

from functools import wraps
from flask import request, jsonify

def require_api_key(f):
    @wraps(f)
    def wrapper(*args, **kwargs):
        key = request.headers.get('X-API-Key')
        if not key:
            return jsonify(error='MISSING_KEY'), 401
        account = db.lookup_account_by_key(key)
        if not account or not account.active:
            return jsonify(error='INVALID_KEY'), 401
        request.account = account   # für Folgecode verfügbar
        return f(*args, **kwargs)
    return wrapper

@app.route('/api/products')
@require_api_key
def list_products():
    return jsonify(db.products_for(request.account))

Diese Logik ist absichtlich kurz – in der Realität kommen noch Aspekte dazu: Rate-Limits, Audit-Logs, Berechtigungs-Checks pro Endpunkt (das ist Autorisierung), Caching der Key-Lookups (Performance). Aber das Grundprinzip ist genau das: vor jedem geschützten Endpunkt prüft eine Middleware den Header.

9) Wie kommt man als Konsument an einen Key?

Aus Sicht eines API-Konsumenten (also: du willst eine fremde API nutzen):

Account anlegen beim Anbieter (z.B. Stripe, OpenAI, Mailchimp).
API-Key generieren im Developer-Dashboard. Meist als langer Zufalls-String wie sk_live_4eC39HqLyjWDarjtT1zdp7dc....
Sicher speichern: nicht im Code, nicht im Git, sondern in einer .env-Datei oder einem Secret-Manager.
In Anfragen verwenden: X-API-Key: ... oder Authorization: Bearer ... (je nach Anbieter).
Rotieren, wenn der Key verdächtigt wird kompromittiert zu sein. Neuen anlegen, alten löschen.

Bewusst gewählte Konventionen vieler Anbieter: ein Prefix wie sk_ (Stripe Secret Key), pk_ (Public Key), test_ oder live_ macht sofort klar, was für ein Key das ist. So erkennt man auch in Logs schnell, dass „da hat jemand seinen Stripe-Test-Key geleakt".

10) Häufige Klausurfragen und Stolperfallen

Diese Punkte werden in IHK-Klausuren gerne abgefragt:

Authentifizierung vs. Autorisierung – Begriffe definieren und Beispiele zuordnen.
Statuscodes 401 vs. 403 – Unterschied erklären und Situationen zuordnen.
Basic Auth: ist Base64 verschlüsselt? Antwort: Nein, das ist nur Kodierung. Sicherheit kommt aus HTTPS.
Welche Auth-Methode wofür? – API-Key für Service-zu-Service, Basic Auth für simple interne Tools, Token-Verfahren für moderne Apps.
Sicherheits-Hygiene: warum nie Keys im Frontend, nie im Git, nie in URLs.

Zusammenfassung

Authentifizierung (AuthN) = „wer bist du?" – fehlt sie → 401. Autorisierung (AuthZ) = „was darfst du?" – fehlt sie → 403. Verwirrend: HTTP-Header heißt Authorization, ist aber für AuthN. API-Key: ein langer geheimer String, im Header X-API-Key. Einfach, gut für Service-zu-Service, keine User-Identität. Basic Authentication: Authorization: Basic <base64(user:pass)> – Base64 ist KEINE Verschlüsselung, nur Kodierung. Sicherheit kommt aus HTTPS. Token-basierte Verfahren (JWT, Bearer) sind heute Standard – Vertiefung in L5 und L6. Hygiene-Regeln: HTTPS Pflicht, Passwörter in DB nur gehasht (bcrypt/Argon2 – siehe K11), Keys rotierbar, Rate Limits. Anti-Patterns: Keys im Frontend hardcoden, in URLs, im Git. Auswahl-Faustregel: Service-zu-Service → API-Key. Internes Tool → Basic Auth + HTTPS. Endnutzer-App → Token. Klausur-Stolperfallen: 401 vs. 403, Base64 ≠ Verschlüsselung, korrekte Methodenwahl. Nächste Lektion: JWT.