Ich arbeite seit Jahren mit n8n. Jetzt, wo es richtig populär wird, sehe ich immer mehr Video-Tutorials und Artikel darüber, wie man es benutzt — schön zu sehen. Nur: Weil alle die Einfachheit von n8n zeigen wollen, vergessen sie den Teil mit der Authentifizierung. Ich versteh’s — der Teil ist langweilig, er kostet Zeit, die eigentlich der Automation gehört, und Videos zu machen ist schon schwer genug, auch ohne groß über Authentifizierung nachzudenken.
Es gibt aber auch Creator, die das Thema nicht unter den Tisch fallen lassen. Schau dir zum Beispiel die Videos von Nate Hark an — er geht auf die Authentifizierung ein und zeigt, wie es geht.
Trotzdem will ich einen eigenen Beitrag dazu schreiben. Man könnte argumentieren, dass das eigentlich die Macher von n8n übernehmen sollten, aber das ist keine Schwäche von n8n — es ist deine Verantwortung, deine Daten zu sichern. Genauso, wie du es als deine Sache siehst, deine Tür zuzumachen und abzuschließen, oder?
Wie in der echten Welt kannst du auch andere Maßnahmen ergreifen, um deine Daten zu schützen. n8n kann keine Authentifizierung auf deinen Webhooks und MCP Servern erzwingen. Es ist dein Job zu entscheiden, wie und wann du deinen Zugang absicherst (immer — du musst den Zugang immer absichern).
Webhooks und MCP Server
Webhooks
Fangen wir mit Webhooks an. Wenn du einen Webhook-Trigger in n8n einfügst, sieht er standardmäßig so aus:
n8n Webhook-Trigger
In den Details siehst du, dass die Authentifizierung auf None steht.
n8n Webhook-Trigger ohne Authentifizierung
Das heißt: Jeder, der die URL des Webhooks hat, kann diesen Workflow auslösen und womöglich an deine Daten kommen.
Ich zeig’s dir an einem einfachen Beispiel. Ich habe einen Node hinzugefügt, der einen geheimen Text zurückgibt. Der sollte natürlich nicht öffentlich sein.
curl https://cvx.app.n8n.cloud/webhook/2fd7f5ee-0cef-4213-bc1c-b8194333fd90
{"secret":"this data is secret and should not be public"}
Autsch, das ist nicht gut. Unsere supergeheimen Daten sind jetzt öffentlich.
Authentifizierung hinzufügen
Authentifizierung hinzuzufügen ist super einfach — hängt aber, wie immer, davon ab, welche Optionen du in dem Tool hast, das den Webhook aufruft. Normalerweise nimmst du Header-basierte Authentifizierung. Das heißt: Du legst den Header und den Wert fest, den das Tool mitschicken soll, das den Webhook aufruft.
Für Header-basierte Authentifizierung gehst du zum Webhook-Trigger, klickst auf Authentication
und wählst Header Auth.
Authentifizierung zum Webhook hinzufügen
Wenn du zum ersten Mal Authentifizierung hinzufügst, wirst du gebeten, einen neuen Header anzulegen.
neue Berechtigung erstellen
Jetzt kannst du den Header und den Wert hinzufügen, den das Tool mitschickt, das den Webhook aufruft. Du kannst jeden Header-Namen und Wert nehmen, den du willst — du musst nur denselben Header und Wert verwenden, wenn du den Webhook aufrufst.
neue Berechtigungseinstellungen
In diesem Beispiel nehme ich den Header Authentication und den Wert SuperSecretPassword.
Bitte benutz dieses miese Passwort nie in Produktion — es ist nur ein Beispiel.
Jetzt einfach speichern, und du bist startklar.
Verwenden Sie niemals dieses Passwort
Der Webhook ist jetzt mit dem Header Authentication und dem Wert SuperSecretPassword gesichert —
ich weiß, ein furchtbares Passwort, aber besser, als ihn komplett offen zu lassen.
Webhook mit Authentifizierung
Also, versuchen wir’s nochmal.
curl https://cvx.app.n8n.cloud/webhook/2fd7f5ee-0cef-4213-bc1c-b8194333fd90
Authorization data is wrong!⏎
Viel besser! Jetzt sieht man, dass der Webhook-Aufruf abgelehnt wird, wenn der Header nicht stimmt oder, wie hier, ganz fehlt.
Header-basierte Authentifizierung verwenden
Ich versteh’s — ich erkläre hier, wie man Header-basierte Authentifizierung benutzt, was in n8n super einfach ist, zeige die Beispiele aber mit curl, was für die meisten wahrscheinlich ziemlich verwirrend ist. Leider hängt es vom Tool ab, das du benutzt; die Einrichtung ist überall anders. Mit dem curl-Beispiel will ich dir nur zeigen, wie n8n im jeweiligen Fall reagiert.
curl -H "Authentication: SuperSecretPassword" https://cvx.app.n8n.cloud/webhook/2fd7f5ee-0cef-4213-bc1c-b8194333fd90
{"secret":"this data is secret and should not be public"}
🎉 Erfolg!
Die geheimen Daten kommen jetzt zurück — aber nur, wenn der Header stimmt.
In curl fügst du den Header mit dem -H Flag hinzu: -H "Authentication: SuperSecretPassword".
In deinem Tool sieht die Einrichtung anders aus, aber höchstwahrscheinlich gibt es
Felder für Header-Name und -Wert.
MCP Server
Jetzt zum MCP Server — die Einrichtung ist hier im Grunde dieselbe wie beim Webhook.
Diesmal nehmen wir aber die Bearer Auth-Option.
Authentifizierung hinzufügen
Die Bearer-Auth ist hier fast dasselbe wie die Header-Auth, nur dass du statt eines Headers ein Bearer-Token hinzufügst. Klingt komplizierter, als es ist. Denk einfach an das Token wie an ein Passwort, das du selbst festlegst.
Erstell jetzt einen neuen MCP Server Trigger und wähle Bearer Auth im Authentication-Bereich.
n8n MCP Server Trigger
Klick auf neue Berechtigung und füge eine neue Berechtigung hinzu.
eine neue Berechtigung hinzufügen
Mach die Finger locker und hau auf die Tastatur, um eine lange zufällige Zeichenfolge zu erzeugen — oder besser noch, nimm einen Zufallspasswort-Generator —
etwa so: dXL6SCTazoYC6BF6d087UMNsYQTZJgsNutV
Nimm diese zufällige Zeichenfolge, pack sie in einen Texteditor deiner Wahl und setz das Wort Bearer davor.
Es sollte jetzt so aussehen: Bearer dXL6SCTazoYC6BF6d087UMNsYQTZJgsNutV
Kopier das Ganze und füg es in n8n in das Token-Feld ein.
Bearer Auth zum MCP Server hinzufügen
Und das war’s — du hast jetzt Bearer Auth auf deinem MCP Server.
MCP Server mit Bearer Auth
Das in Claude Desktop verwenden
Um das in Claude Desktop zu nutzen, musst du die Claude Desktop-Einstellungen
in der Datei claude_desktop_config.json anpassen.
Wo du die Datei findest, steht in der offiziellen MCP-Dokumentation.
Weitere Infos gibt es auch in der n8n-Dokumentation.
Hier ein Beispiel für die Konfigurationsdatei:
{
"mcpServers": {
"n8n": {
"command": "npx",
"args": [
"mcp-remote",
"https://foo.app.n8n.cloud/mcp/7d11cb75-5d95-4d8f-bcea-36785d4c4b3e/sse",
"--header",
"Authorization: Bearer ${AUTH_TOKEN}"
],
"env": {
"AUTH_TOKEN": "dXL6SCTazoYC6BF6d087UMNsYQTZJgsNutV"
}
}
}
}
Eine allgemeine Anmerkung zur Authentifizierung
Authentifizierung brauchst du auch in vielen anderen Tools. Wenn so ein Tool einen Node in n8n hat, musst du dort die Authentifizierung hinterlegen. n8n sorgt dann dafür, dass die Authentifizierung sicher und verschlüsselt bleibt. Aber weil n8n so flexibel ist, kannst du auch HTTP-Nodes nutzen, um andere Tools aufzurufen, und wenn die Authentifizierung brauchen, bist du vielleicht versucht, einen HTTP-Header an den Node zu hängen. Bitte mach das nie — nimm stattdessen die Authentifizierungsoptionen, die n8n dir bietet. Ich habe darüber im n8n Forum geschrieben, nachdem ich gesehen habe, wie Leute aus Versehen ihre Workflows samt Authentifizierungsdaten gepostet haben.
Deine nächsten Schritte
- Prüf deine aktuellen n8n-Workflows - check jeden Webhook und MCP Server auf fehlende Authentifizierung
- Richte Header- oder Bearer-Auth ein auf allen ungesicherten Endpunkten
- Dokumentier deine Authentifizierungs-Einrichtung für dein Team
Brauchst du Hilfe bei diesen Sicherheitsmaßnahmen? Buch dir eine Beratung und wir sichern deine Automatisierungen gemeinsam ab.
Foto von Max Bender auf Unsplash