Dokumentation

Scan-Authentifizierung

Geschützte Seiten mit HTTP Basic Auth oder eigenem HTTP-Header scannen – für Staging und abgesicherte Bereiche.

Auf dieser Seite

Wofür Scan-Authentifizierung gedacht ist Verfügbare Authentifizierungstypen HTTP Basic Auth HTTP-Header Wo du Authentifizierung konfigurierst Einzelner Scan Geplante Scans Sicherheit und Speicherung Planabhängigkeit Grenzen und Hinweise Authentifizierung über die API Weiterlesen

Wofür Scan-Authentifizierung gedacht ist

Manche Seiten sind nicht öffentlich erreichbar: Staging-Umgebungen, passwortgeschützte Bereiche, interne Tools oder Seiten, die nur mit einem bestimmten HTTP-Header ausgeliefert werden. turbometrics kann auch solche Seiten scannen, wenn du die nötigen Zugangsdaten direkt an den Scan übergibst.

Typische Szenarien:

  • Staging-Domain mit HTTP-Basic-Auth absichern und trotzdem regelmäßig messen
  • Inhalte hinter einer eigenen Middleware scannen, die einen bestimmten Header erwartet
  • Scan einer Entwicklungsumgebung, ohne sie öffentlich freizugeben
↑ Zum Inhaltsverzeichnis

Verfügbare Authentifizierungstypen

HTTP Basic Auth

Klassische Benutzername-Passwort-Authentifizierung auf HTTP-Ebene. Der Browser-Prompt, den du von passwortgeschützten Verzeichnissen kennst.

Eingabe:

  • Benutzername
  • Passwort

turbometrics sendet diese Daten als Authorization: Basic …-Header mit jeder Scan-Anfrage.

HTTP-Header

Beliebiger Header, den du mit einem eigenen Wert mitschicken möchtest. Geeignet für Token-basierte Zugriffskontrolle, eigene Middleware, Feature-Flags oder Bypass-Mechanismen.

Eingabe:

  • Header-Name (z. B. Authorization, X-Access-Token, X-Preview-Key)
  • Header-Wert (der vollständige Wert, z. B. Bearer abc123)

Der Header wird exakt so übertragen, wie du ihn angibst.

↑ Zum Inhaltsverzeichnis

Wo du Authentifizierung konfigurierst

Einzelner Scan

Beim manuellen Scan – auf der Startseite, unter Meine Scans und in der Domain-Ansicht – erscheint unterhalb des URL-Felds ein Bereich Authentifizierung, sofern dein Plan das Feature enthält.

Standardmäßig ist „Keine" ausgewählt. Wählst du HTTP Basic Auth oder HTTP-Header, erscheinen die passenden Felder.

Die Angaben gelten nur für diesen einen Scan. Sie werden nicht dauerhaft gespeichert.

Geplante Scans

Im Formular für geplante Scans (unter Geplante Scans → Neuen geplanten Scan anlegen und in der Bearbeitungsansicht eines bestehenden Ziels) gibt es denselben Authentifizierungsbereich.

Hier gelten die Angaben dauerhaft für alle automatisch ausgelösten Scans dieses Ziels. Bei stündlichen, täglichen oder wöchentlichen Scans wird die Authentifizierung automatisch mitgeschickt.

Passwort und Header-Wert beim Bearbeiten: Beim Bearbeiten eines bestehenden Ziels sind Passwort und Header-Wert aus Sicherheitsgründen nicht vorausgefüllt. Lässt du das Feld leer, wird der bisher hinterlegte Wert beibehalten. Willst du den Wert ändern, tippst du den neuen Wert direkt ein.

↑ Zum Inhaltsverzeichnis

Sicherheit und Speicherung

Passwörter und Header-Werte werden verschlüsselt gespeichert und verlassen turbometrics ausschließlich als ausgehende HTTP-Anfrage an die gescannte URL.

Scans mit Authentifizierung werden grundsätzlich als privat behandelt. Sie erscheinen nicht in öffentlichen Scan-Listen und sind nicht über Share-Links zugänglich, sofern du die Sichtbarkeit nicht explizit auf öffentlich änderst. Wir empfehlen, solche Scans nicht öffentlich zu stellen.

↑ Zum Inhaltsverzeichnis

Planabhängigkeit

Die Scan-Authentifizierung steht ab dem Pro-Plan zur Verfügung.

Plan Verfügbar
Free Nein
Starter Nein
Pro Ja
Agency Ja

Ohne das Feature erscheint der Authentifizierungsbereich in den Formularen nicht.

↑ Zum Inhaltsverzeichnis

Grenzen und Hinweise

  • Es wird genau eine Authentifizierungsmethode pro Scan unterstützt: entweder Basic Auth oder ein Header, nicht beides gleichzeitig.
  • Die Authentifizierung gilt für die gesamte Scan-Anfrage, nicht für einzelne Ressourcen einer Seite (Bilder, Skripte, Stylesheets werden separat geladen und folgen keiner gesonderten Authentifizierung).
  • Wenn ein Scan trotz hinterlegter Authentifizierung fehlschlägt, prüfe ob die Zugangsdaten korrekt sind und ob die Seite tatsächlich diese Methode erwartet.
  • HTTP-Redirects folgt turbometrics automatisch – die Authentifizierung wird auch bei Weiterleitungen mitgesendet.
↑ Zum Inhaltsverzeichnis

Authentifizierung über die API

Scans mit Authentifizierung lassen sich auch über die REST API auslösen. Dazu übergibst du ein auth-Objekt im Request-Body von POST /api/v1/scans:

HTTP Basic Auth:

{
  "url": "https://staging.example.com",
  "auth": {
    "type": "basic",
    "username": "admin",
    "password": "geheim"
  }
}

HTTP-Header:

{
  "url": "https://staging.example.com",
  "auth": {
    "type": "header",
    "header_name": "X-Preview-Key",
    "header_value": "abc123"
  }
}

Die Antwort enthält auth_type als Indikator — Zugangsdaten werden niemals zurückgegeben. Das auth-Feature erfordert den Pro-Plan, analog zur Web-Oberfläche.

→ Vollständige API-Dokumentation: REST API

↑ Zum Inhaltsverzeichnis

Weiterlesen

REST APIGeplante ScansScansTarife & Limits

↑ Zum Inhaltsverzeichnis
Zurück Bulk-Aktionen Weiter Alerts