http basic 與 htpasswd:場景、生成與安全清單

staging 保護、nginx auth_basic 哈希行生成,以及與 jwt/oauth 的選型對比。

· 全部指南

http basic 認證

basic auth 在 authorization 頭髮送 base64(username:password),僅適用於 https。basic-auth-generator 生成 header 或 curl 示例;開發環境快速保護 staging 頁面時常用,生產應優先 oauth/oidc 或 session。

htpasswd 與 nginx/apache

htpasswd-generator 生成 apache 兼容的哈希行,供 nginx auth_basic_user_file 使用。密碼應使用 bcrypt 或 apr1,勿用明文 crypt。輪換密碼時需 reload 服務並通知集成方。

與 jwt 的區別

basic 每次請求帶憑證,無過期除非改密碼;jwt 可短期 access token + 刷新。微服務間 mtls 或服務 mesh 往往比 basic 更合適。

安全清單

強制 tls;限制 ip 白名單;禁用弱密碼;日誌勿記錄 authorization 頭。towalles 本地生成,勿把生產密碼粘貼到不可信網站。

相關工具