Authentifizierte Scans
Scannen Sie Seiten hinter Login-Formularen, Bearer-Token-Authentifizierung oder statischen Tokens. Testen Sie die Barrierefreiheit Ihrer geschützten Inhalte.
Authentifizierte Scans sind im Starter- und Pro-Plan verfügbar.
Formular-Login
Der Scanner füllt ein Login-Formular mit Ihren Zugangsdaten aus, klickt den Absende-Button und nutzt die resultierenden Session-Cookies für geschützte Seiten.
| Feld | Pflicht | Beschreibung |
|---|---|---|
| loginUrl | Ja | URL der Login-Seite (z.B. https://example.com/login). |
| usernameField | Ja | CSS-Selektor für das Benutzername/E-Mail-Eingabefeld. input#email, input[name="email"] |
| passwordField | Ja | CSS-Selektor für das Passwort-Eingabefeld. |
| submitSelector | Ja | CSS-Selektor für den Absende/Login-Button. |
Konfigurieren Sie diese Felder in Ihren Projekteinstellungen unter Dashboard > Projekt > Einstellungen > Authentifizierung.
Bearer Token via Endpoint
Der Scanner ruft Ihren Token-Endpoint auf, extrahiert den Access-Token aus der JSON-Antwort und setzt ihn als HTTP-Header für alle weiteren Requests.
| Feld | Pflicht | Beschreibung |
|---|---|---|
| tokenEndpoint | Ja | URL des Token-Endpoints (z.B. https://api.example.com/auth/token). |
| tokenMethod | Nein | HTTP-Methode: GET oder POST. Standard ist POST. |
| tokenHeaders | Nein | Zusätzliche Header für den Token-Request (JSON-Objekt). |
| tokenBody | Nein | Request-Body für den Token-Endpoint (JSON-Objekt). |
| tokenJsonPath | Ja | Punkt-Notation zum Extrahieren des Tokens aus der Antwort. data.access_token |
| tokenHeaderName | Nein | Header-Name für den Token. Standard ist Authorization. |
| tokenAuthMethod | Nein | Authentifizierungsmethode für den Token-Endpoint: NONE oder BASIC. |
| tokenBasicUsername | Nein | Benutzername für Basic Auth am Token-Endpoint. |
| tokenBasicPassword | Nein | Passwort für Basic Auth am Token-Endpoint. |
Konfigurieren Sie diese Felder in Ihren Projekteinstellungen unter Dashboard > Projekt > Einstellungen > Authentifizierung. Wählen Sie 'Bearer Token' als Auth-Methode.
Statischer Token
Die einfachste Methode: Geben Sie einen Bearer-Token direkt an. Der Token wird als Header bei jedem Request mitgesendet, ohne Endpoint-Aufruf.
| Feld | Pflicht | Standard | Beschreibung |
|---|---|---|---|
| staticToken | Ja | - | Der Bearer-Token-Wert. |
| staticTokenHeaderName | Nein | Authorization | Header-Name. Standard ist Authorization (gesendet als Bearer <token>). |
Wenn der Header auf 'Authorization' gesetzt ist, wird der Token automatisch als 'Bearer <token>' gesendet. Bei jedem anderen Header-Namen wird der Token-Wert direkt ohne Bearer-Präfix gesendet.
Fehlerbehebung
Mehrere Login-Buttons
Wenn die Login-Seite mehrere Buttons mit der gleichen Klasse hat (z.B. 'Mit Discord anmelden' und 'Mit Passwort einloggen'), verwenden Sie einen spezifischeren Selektor wie button.login-btn:not(.login-btn-discord).
OAuth / Externer Redirect
Wenn die Login-Seite zu einem externen OAuth-Anbieter weiterleitet (Discord, Google, etc.), funktioniert der Formular-Login nicht. Verwenden Sie stattdessen Static Token oder Bearer Token.
Session-Timeout
Der Scanner besucht Seiten nacheinander. Wenn Ihre Session schnell abläuft, reduzieren Sie die maximale Seitenzahl pro Scan in den Projekteinstellungen.
Falscher Selektor
Nutzen Sie die Browser-DevTools (F12), klicken Sie rechts auf das Element und wählen Sie 'Selektor kopieren'. Testen Sie ihn in der DevTools-Konsole mit document.querySelector().
Bereit, geschützte Inhalte zu scannen?
Upgraden Sie auf Starter oder Pro und testen Sie Seiten hinter dem Login.
Jetzt starten