HTTP 401 Unauthorized Fehler: Bedeutung und Loesung
Was ist ein 401 Unauthorized Fehler?
Ein 401 Unauthorized Fehler ist ein HTTP-Statuscode, der bedeutet, dass der Server eine Authentifizierung fuer die angeforderte Ressource verlangt, die Anfrage aber entweder keine Anmeldedaten enthielt oder die bereitgestellten Anmeldedaten ungueltig waren.
Die HTTP-Spezifikation (RFC 9110, Abschnitt 15.5.2) definiert ihn folgendermassen: Die Anfrage verfuegt nicht ueber gueltige Authentifizierungsdaten fuer die Zielressource. Der Server, der die 401-Antwort generiert, muss einen WWW-Authenticate-Header einfuegen, der angibt, welches Authentifizierungsschema verwendet werden soll.
Einfach ausgedrueckt: Der Server fragt "Wer sind Sie?", bevor er den Zugriff erlaubt. Entweder haben Sie keine Identifikation angegeben, oder die angegebene Identifikation war falsch.
Wie ein 401-Fehler aussieht
Der 401-Fehler wird je nach Server, Browser und Anwendung unterschiedlich angezeigt. Hier sind die haeufigsten Meldungen, die Ihnen begegnen koennen.
401 Unauthorized — die Standard-HTTP-Antwortmeldung
HTTP Error 401 – Unauthorized — haeufig in IIS- und ASP.NET-Anwendungen
401 Authorization Required — Standard-Fehlerseite von Nginx
Error 401 — Kurzform in der Browser-Adressleiste
Access Denied: Invalid credentials — benutzerdefinierte Anwendungs-Fehlerseiten
Authentication Required — Browser-Popup fuer Basic/Digest-Authentifizierung
Invalid API Key — haeufig in REST-API-Antworten
Token Expired — JWT- oder OAuth-Token muss erneuert werden
Wenn ein Server eine 401-Antwort sendet, zeigen die meisten Browser ein Anmelde-Popup an, das nach Benutzername und Passwort fragt. Wenn der Server tokenbasierte Authentifizierung verwendet (wie bei APIs), sehen Sie den Fehler stattdessen im JSON-Antwortkoerper.
401 vs 403: Was ist der Unterschied?
Die Statuscodes 401 und 403 werden haeufig verwechselt, selbst von erfahrenen Entwicklern. Der Unterschied ist einfach: 401 bedeutet "Ich weiss nicht, wer Sie sind", waehrend 403 bedeutet "Ich weiss, wer Sie sind, aber Sie haben keine Berechtigung."
| Aspekt | 401 Unauthorized | 403 Forbidden |
|---|---|---|
| Kernbedeutung | Authentifizierung fehlgeschlagen oder fehlend | Autorisierung verweigert |
| Die Frage des Servers | "Wer sind Sie?" | "Sie haben keine Berechtigung" |
| Anmeldedaten | Nicht angegeben oder ungueltig | Gueltig, aber unzureichend |
| Kann ein erneuter Versuch helfen? | Ja — geben Sie korrekte Anmeldedaten an | Nein — Ihnen fehlt die Berechtigung |
| WWW-Authenticate-Header | In der Antwort erforderlich | Nicht enthalten |
| Beispielszenario | Zugriff auf das Admin-Panel ohne Anmeldung | Als Betrachter angemeldet, versucht Beitraege zu loeschen |
Eine praktische Regel: Wenn die Angabe des richtigen Benutzernamens und Passworts (oder API-Schluessels) das Problem beheben wuerde, sollte der Server 401 zurueckgeben. Wenn der Benutzer bereits authentifiziert ist, aber einfach keinen Zugriff auf diese Ressource hat, sollte der Server 403 Forbidden zurueckgeben.
Haeufige Ursachen fuer 401-Fehler
Die Ursache eines 401-Fehlers haengt davon ab, ob Sie ein normaler Benutzer, ein Entwickler, der eine API aufruft, oder ein Serveradministrator sind. Hier sind die haeufigsten Gruende.
Falscher Benutzername oder Passwort — die grundlegendste Ursache, besonders nach einer Passwortaenderung
Abgelaufener Authentifizierungstoken — JWT-Tokens, OAuth-Zugriffstoken und Session-Cookies haben alle Ablaufzeiten
Fehlender Authorization-Header — die Anfrage enthielt ueberhaupt keine Anmeldedaten
Ungueltiger API-Schluessel — der Schluessel wurde widerrufen, rotiert oder falsch kopiert
Falsches Auth-Schema — Server erwartet Bearer-Token, hat aber Basic Auth erhalten, oder umgekehrt
Zeitabweichung — JWT-Validierung schlaegt fehl, wenn die Uhren von Server und Client um mehr als wenige Minuten voneinander abweichen
CORS-Preflight entfernt Header — der Browser entfernt den Authorization-Header aus Preflight-OPTIONS-Anfragen
Veralteter Browser-Cache — der Browser sendet ein zwischengespeichertes, abgelaufenes Session-Cookie statt ein neues anzufordern
Fehlkonfiguration des Reverse-Proxy — Nginx oder Apache entfernt den Authorization-Header, bevor er an das Backend weitergeleitet wird
Ratenbegrenzte oder widerrufene Anmeldedaten — zu viele fehlgeschlagene Versuche haben eine Kontosperre ausgeloest
So beheben Sie 401 als Besucher
Wenn Sie auf einer Website, die Sie besuchen moechten, einen 401-Fehler erhalten, haengt das Problem fast immer mit Ihren Anmeldedaten zusammen. Befolgen Sie diese Schritte der Reihe nach.
1. Ueberpruefen Sie Ihre Anmeldedaten
Die haeufigste Ursache fuer einen 401-Fehler sind einfach falsche Anmeldedaten. Wenn die Website ein Anmelde-Popup oder -Formular anzeigt, ueberpruefen Sie Ihren Benutzernamen und Ihr Passwort noch einmal.
Haeufige Fehler: Die Feststelltaste ist aktiviert, Sie verwenden ein altes Passwort (insbesondere nach einer kuerzlichen Aenderung) oder Sie melden sich beim falschen Konto an. Wenn Sie einen Passwort-Manager verwenden, lassen Sie die Anmeldedaten automatisch ausfuellen, um Tippfehler zu vermeiden.
2. Browser-Cache und Cookies loeschen
Ihr Browser sendet moeglicherweise ein abgelaufenes Session-Cookie oder einen zwischengespeicherten Authentifizierungstoken. Das Loeschen dieser Daten zwingt den Browser, neue Anmeldedaten vom Server anzufordern.
Chrome: Settings → Privacy → Clear browsing data → Cookies + Cached images
Firefox: Settings → Privacy → Clear Data → Cookies + Cache
Safari: Settings → Privacy → Manage Website Data → Remove All
Edge: Settings → Privacy → Clear browsing data → Cookies + CacheSchliessen Sie nach dem Loeschen den Browser vollstaendig (nicht nur den Tab), oeffnen Sie ihn erneut und navigieren Sie wieder zur Seite. Sie sollten eine frische Anmeldeaufforderung sehen.
3. Inkognito- oder privaten Modus verwenden
Oeffnen Sie die URL in einem Inkognito-Fenster (Chrome) oder einem privaten Fenster (Firefox/Safari). Dadurch werden alle zwischengespeicherten Cookies, Erweiterungen und gespeicherten Anmeldedaten umgangen.
Wenn die Seite im Inkognito-Modus funktioniert, aber nicht in Ihrem normalen Browser, liegt das Problem an einem zwischengespeicherten Cookie oder einer Browser-Erweiterung, die die Authentifizierung stoert. Deaktivieren Sie die Erweiterungen einzeln, um die Ursache zu finden.
4. URL ueberpruefen
Stellen Sie sicher, dass Sie die richtige URL besuchen. Einige Server geben 401 fuer Pfade zurueck, die eine Authentifizierung erfordern, auch wenn der Pfad selbst falsch ist. Moeglicherweise versuchen Sie, auf einen eingeschraenkten Bereich zuzugreifen, den Sie nicht besuchen sollten.
Pruefen Sie, ob es eine oeffentliche Version der Seite unter einer anderen URL gibt. Zum Beispiel koennte example.com/admin/ 401 zurueckgeben, waehrend example.com/ oeffentlich zugaenglich ist.
So beheben Sie 401 als Entwickler
Fuer Entwickler, die mit APIs arbeiten, drehen sich 401-Fehler normalerweise um den Authorization-Header, das Token-Format oder den Lebenszyklus der Anmeldedaten. Dies sind die gaengigsten Loesungen.
5. Authorization-Header ueberpruefen
Der haeufigste Entwicklerfehler ist ein fehlerhafter Authorization-Header. Der WWW-Authenticate-Header in der Serverantwort sagt Ihnen genau, welches Schema erwartet wird.
Pruefen Sie, ob Ihr Header dem erforderlichen Format entspricht. Die gaengigsten Schemata sind Bearer (fuer Tokens) und Basic (fuer Benutzername:Passwort in Base64-Kodierung).
# Bearer token authentication (most APIs)
curl -H "Authorization: Bearer eyJhbGciOiJIUzI1NiIs..." https://api.example.com/data
# Basic authentication (username:password in Base64)
curl -u "username:password" https://api.example.com/data
# Equivalent to:
curl -H "Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=" https://api.example.com/data
# Common mistakes that cause 401:
# Missing "Bearer " prefix: Authorization: eyJhbGci... ← WRONG
# Extra space: Authorization: Bearer eyJ... ← WRONG
# Wrong scheme: Authorization: Basic eyJhbGci... ← WRONGPruefen Sie immer den WWW-Authenticate-Header in der 401-Antwort. Er sagt Ihnen genau, was der Server erwartet. Verwenden Sie das HTTP-Headers-Tool von DNS Robot, um die vollstaendige Antwort zu inspizieren.
6. API-Schluessel-Gueltigkeit pruefen
API-Schluessel koennen aus mehreren Gruenden stillschweigend aufhoeren zu funktionieren: Der Schluessel wurde rotiert, das zugehoerige Konto wurde herabgestuft, der Schluessel hat sein Ratenlimit erreicht oder er war auf andere Endpunkte beschraenkt als die, die Sie aufrufen.
Ueberpruefen Sie im Dashboard des Anbieters, ob Ihr Schluessel noch aktiv ist. Viele APIs (Google, AWS, Stripe) erlauben es Ihnen, den Schluessel direkt ueber deren Konsole zu testen.
# Test if your API key is valid
curl -I -H "Authorization: Bearer YOUR_API_KEY" https://api.example.com/me
# 200 = key is valid
# 401 = key is invalid or expired
# 403 = key is valid but lacks permission for this endpoint
# Check common API key issues:
# 1. Trailing whitespace in .env file: API_KEY="abc123 " ← trailing space
# 2. Wrong environment: using test key on production
# 3. Missing prefix: some APIs need "sk_live_" prefix7. Token-Ablauf und -Erneuerung behandeln
JWT-Tokens und OAuth-Zugriffstoken haben eine begrenzte Lebensdauer — typischerweise 15 Minuten bis 24 Stunden. Wenn sie ablaufen, gibt jeder API-Aufruf 401 zurueck, bis Sie einen neuen Token erhalten.
Die Loesung haengt von Ihrem Authentifizierungsablauf ab. OAuth 2.0 verwendet ein Refresh-Token, um einen neuen Zugriffstoken zu erhalten, ohne sich erneut authentifizieren zu muessen. JWT-basierte Systeme erfordern typischerweise eine erneute Anmeldung.
# Decode a JWT token to check its expiry (works on macOS and Linux)
echo "eyJhbGciOiJIUzI1NiIs..." | cut -d'.' -f2 | base64 -d 2>/dev/null | python3 -m json.tool
# Look for "exp" field — it's a Unix timestamp
# Compare with current time: date +%s
# OAuth 2.0 refresh token flow
curl -X POST https://auth.example.com/token \
-d "grant_type=refresh_token" \
-d "refresh_token=YOUR_REFRESH_TOKEN" \
-d "client_id=YOUR_CLIENT_ID"8. CORS-Preflight-Probleme beheben
Wenn ein Browser eine Cross-Origin-Anfrage mit einem Authorization-Header sendet, schickt er zuerst eine Preflight-OPTIONS-Anfrage. Der Browser entfernt automatisch den Authorization-Header aus diesem Preflight. Wenn Ihr Server eine Authentifizierung fuer die OPTIONS-Anfrage verlangt, gibt er 401 zurueck, bevor die eigentliche Anfrage jemals gesendet wird.
Die Loesung: Konfigurieren Sie Ihren Server so, dass OPTIONS-Anfragen ohne Authentifizierung auf CORS-faehigen Endpunkten zugelassen werden.
# Nginx — allow OPTIONS requests without auth
location /api/ {
if ($request_method = OPTIONS) {
add_header Access-Control-Allow-Origin *;
add_header Access-Control-Allow-Methods "GET, POST, PUT, DELETE, OPTIONS";
add_header Access-Control-Allow-Headers "Authorization, Content-Type";
add_header Access-Control-Max-Age 86400;
return 204;
}
# Normal auth for other methods
auth_basic "Restricted";
auth_basic_user_file /etc/nginx/.htpasswd;
}So beheben Sie 401 als Website-Betreiber
Wenn Ihre Besucher oder Benutzer 401-Fehler melden, liegt das Problem in der Authentifizierungskonfiguration Ihres Servers. Gehen Sie diese Pruefungen durch.
9. Server-Authentifizierungskonfiguration ueberpruefen
Stellen Sie sicher, dass die Authentifizierung nur fuer die Routen aktiviert ist, die sie benoetigen. Ein haeufiger Fehler ist es, ein gesamtes Verzeichnis oder eine ganze Website zu schuetzen, wenn nur bestimmte Pfade eine Anmeldung erfordern sollten.
Bei Nginx ueberpruefen Sie Ihre auth_basic-Anweisungen. Bei Apache ueberpruefen Sie die AuthType- und Require-Anweisungen. Bei Node.js/Express ueberpruefen Sie die Reihenfolge Ihrer Middleware — Authentifizierungs-Middleware, die vor den Route-Handlern platziert wird, blockiert alles.
# Nginx — WRONG: protects everything, including public pages
server {
auth_basic "Restricted";
auth_basic_user_file /etc/nginx/.htpasswd;
# All pages now require login — including your homepage!
}
# Nginx — CORRECT: only protect admin routes
server {
location / {
# Public — no auth required
}
location /admin/ {
auth_basic "Admin Area";
auth_basic_user_file /etc/nginx/.htpasswd;
}
}10. .htaccess-Authentifizierungsregeln pruefen
Auf Apache-Servern koennen .htaccess-Dateien Basic- oder Digest-Authentifizierung fuer bestimmte Verzeichnisse aktivieren. Wenn eine .htaccess-Datei mit AuthType-Anweisungen in einem oeffentlichen Verzeichnis vorhanden ist, erhaelt jeder Besucher eine 401-Anmeldeaufforderung.
Pruefen Sie .htaccess-Dateien im betroffenen Verzeichnis und in allen uebergeordneten Verzeichnissen — Apache wendet Regeln aus jeder .htaccess-Datei im Pfad an.
# Find all .htaccess files with auth rules
find /var/www/html -name '.htaccess' -exec grep -l 'AuthType\|AuthUserFile\|Require valid-user' {} \;
# Example .htaccess that causes 401 for everyone:
# AuthType Basic
# AuthName "Restricted Area"
# AuthUserFile /etc/apache2/.htpasswd
# Require valid-user
# Fix: remove auth lines from public directories,
# or move them to the specific /admin/.htaccess only11. Header-Entfernung durch Reverse-Proxy beheben
Wenn Ihre Anwendung hinter Nginx, Apache oder einem Load-Balancer liegt, entfernt der Proxy moeglicherweise den Authorization-Header, bevor die Anfrage an Ihr Backend weitergeleitet wird. Dies ist eine der frustrierendsten 401-Ursachen, weil der Client korrekte Anmeldedaten sendet, aber der Server sie nie erhaelt.
Pruefen Sie Ihre Proxy-Konfiguration, um sicherzustellen, dass der Authorization-Header durchgeleitet wird.
# Nginx reverse proxy — pass Authorization header to backend
location /api/ {
proxy_pass http://localhost:3000;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Authorization $http_authorization; # ← Critical!
proxy_pass_header Authorization; # ← Also add this
}
# Apache reverse proxy
<Location /api/>
ProxyPass http://localhost:3000/api/
ProxyPassReverse http://localhost:3000/api/
RequestHeader set Authorization "expr=%{HTTP:Authorization}" # Pass auth header
</Location>401-Fehler mit HTTP-Headern debuggen
Der schnellste Weg, einen 401-Fehler zu diagnostizieren, ist die Untersuchung der Antwort-Header. Der WWW-Authenticate-Header in der Serverantwort sagt Ihnen genau, welche Authentifizierungsmethode erforderlich ist.
Verwenden Sie das HTTP-Headers-Tool von DNS Robot oder curl im Terminal, um die vollstaendige Antwort anzuzeigen.
# Check the WWW-Authenticate header in the 401 response
curl -I https://api.example.com/protected-endpoint
# Typical 401 response headers:
# HTTP/1.1 401 Unauthorized
# WWW-Authenticate: Bearer realm="api", error="invalid_token"
# WWW-Authenticate: Basic realm="Admin Area"
# Content-Type: application/json
# The WWW-Authenticate header tells you:
# - The auth scheme (Bearer, Basic, Digest)
# - The realm (which area is protected)
# - The error reason (invalid_token, expired, etc.)Achten Sie besonders auf den WWW-Authenticate-Header. Wenn er Bearer angibt, benoetigen Sie einen Token. Wenn er Basic angibt, benoetigen Sie einen Benutzernamen und ein Passwort. Wenn er error=invalid_token enthaelt, ist Ihr Token vorhanden, aber fehlerhaft oder abgelaufen. Dieser einzelne Header sagt Ihnen normalerweise genau, was falsch ist.
Beeinflusst ein 401-Fehler die SEO?
Ein 401-Fehler auf oeffentlich zugaenglichen Seiten schadet Ihrer SEO. Wenn Googlebot auf einen 401-Fehler stoesst, kann er die Seite nicht crawlen und wird sie schliesslich aus dem Index entfernen.
Allerdings sind 401-Fehler auf Seiten, die eine Authentifizierung erfordern sollten (Admin-Panels, Benutzer-Dashboards, API-Endpunkte), voellig normal. Google erwartet, dass diese Seiten geschuetzt sind, und wird Ihre Website dafuer nicht bestrafen.
Das Problem entsteht, wenn 401-Fehler auf Seiten erscheinen, die oeffentlich zugaenglich sein sollten. Dies passiert typischerweise, wenn Authentifizierungs-Middleware falsch konfiguriert ist oder wenn ein CDN/Reverse-Proxy faelschlicherweise Anmeldedaten fuer oeffentliche Routen verlangt.
So verhindern Sie 401-Fehler
Vorbeugung erspart Ihnen spaeteres Debugging. Befolgen Sie diese Praktiken, um 401-Fehler in Ihren Anwendungen und Websites zu minimieren.
Token-Auto-Refresh implementieren — verwenden Sie Refresh-Tokens, um stillschweigend neue Zugriffstoken zu erhalten, bevor sie ablaufen
Richtige Auth-Bereiche setzen — schuetzen Sie nur Routen, die wirklich eine Authentifizierung benoetigen, lassen Sie oeffentliche Seiten offen
Klare Fehlermeldungen verwenden — geben Sie hilfreiche JSON-Fehlerkoerper zusammen mit 401 zurueck, nicht nur den Statuscode
Auth-Fehler ueberwachen — richten Sie Warnungen fuer Anstiege bei 401-Antworten ein, die auf Probleme mit Anmeldedaten oder Angriffe hinweisen koennten
Server-Uhren synchronisieren — verwenden Sie NTP, um alle Server auf wenige Sekunden genau an UTC zu halten und JWT-Zeitabweichungs-Ablehnungen zu verhindern
Mit dem [HTTP-Headers-Tool](/http-headers) testen — ueberpruefen Sie regelmaessig, dass oeffentliche Seiten 200 und geschuetzte Seiten 401 wie erwartet zurueckgeben
Auth-Schema dokumentieren — machen Sie das erwartete Format des Authorization-Headers in Ihrer API-Dokumentation deutlich
CORS-Preflight behandeln — erlauben Sie immer OPTIONS-Anfragen ohne Authentifizierung auf API-Endpunkten
Pruefen Sie Ihre HTTP-Antwort-Header
Verwenden Sie das kostenlose HTTP-Headers-Tool von DNS Robot, um den Antwortstatus, die Header und die WWW-Authenticate-Informationen jeder URL sofort zu inspizieren.
Try HTTP HeadersFrequently Asked Questions
Ein 401 Unauthorized Fehler bedeutet, dass der Server eine Authentifizierung erfordert, Ihre Anfrage aber keine gueltigen Anmeldedaten enthielt. Sie haben entweder keinen Benutzernamen/kein Passwort oder keinen API-Schluessel angegeben, oder die angegebenen waren falsch oder abgelaufen.