· 全部指南
http basic 認證
basic auth 在 authorization 頭髮送 base64(username:password),僅適用於 https。basic-auth-generator 生成 header 或 curl 示例;開發環境快速保護 staging 頁面時常用,生產應優先 oauth/oidc 或 session。
htpasswd 與 nginx/apache
htpasswd-generator 生成 apache 兼容的哈希行,供 nginx auth_basic_user_file 使用。密碼應使用 bcrypt 或 apr1,勿用明文 crypt。輪換密碼時需 reload 服務並通知集成方。
與 jwt 的區別
basic 每次請求帶憑證,無過期除非改密碼;jwt 可短期 access token + 刷新。微服務間 mtls 或服務 mesh 往往比 basic 更合適。
安全清單
強制 tls;限制 ip 白名單;禁用弱密碼;日誌勿記錄 authorization 頭。towalles 本地生成,勿把生產密碼粘貼到不可信網站。