nginx auth_basic发送密码明文吗？

auth_basic在连接到服务器时打开的同一个连接上工作，所以在http上使用纯文本，在https上使用SSL / TLS进行加密。 在发送到服务器之前，发生在用户/传递组合上的唯一处理是Base64编码。

您可以使用curl来查看标题：

 $ curl -v -u your_user_name "http://......." 

查找> Authorization: Basic ...行，其中包含user:pass的Base64编码user:pass 。

你可以用下面的代码解码字符串

 printf auth_string | base64 --decode 

更多细节在这里 。

关于密码文件， nginx可以在密码文件中使用明文和散列密码（ info here ）：

1.纯文本：

  # comment name1:password1 name2:password2:comment name3:password3 

2.加密/散列：

• 用crypt（）函数加密; 可以使用Apache HTTP服务器发行版本的“htpasswd”工具生成
  “openssl passwd”命令;

• 与基于MD5的密码算法（apr1）的Apache变体相混淆; 可以用相同的工具生成;

• 由RFC 2307中描述的“{scheme} data”语法（1.0.3+）指定; 当前实现的方案包括PLAIN（不应该使用示例），SHA（1.3.13）（不应该使用纯SHA-1哈希）和SSHA（一些软件包使用的SHA-1哈希） OpenLDAP和Dovecot）。

 $ htpasswd Usage: htpasswd [-cimBdpsDv] [-C cost] passwordfile username htpasswd -b[cmBdpsDv] [-C cost] passwordfile username password htpasswd -n[imBdps] [-C cost] username htpasswd -nb[mBdps] [-C cost] username password -c Create a new file. -n Don't update file; display results on stdout. -b Use the password from the command line rather than prompting for it. -i Read password from stdin without verification (for script usage). -m Force MD5 encryption of the password (default). -B Force bcrypt encryption of the password (very secure). -C Set the computing time used for the bcrypt algorithm (higher is more secure but slower, default: 5, valid: 4 to 31). -d Force CRYPT encryption of the password (8 chars max, insecure). -s Force SHA encryption of the password (insecure). -p Do not encrypt the password (plaintext, insecure). -D Delete the specified user. -v Verify password for the specified user. On other systems than Windows and NetWare the '-p' flag will probably not work. The SHA algorithm does not use a salt and is less secure than the MD5 algorithm.