htpasswd 產生器
產生 Apache/Nginx Basic 認證用的 htpasswd 帳密字串,支援 bcrypt 與 SHA,於瀏覽器本機運算
關於htpasswd 產生器
htpasswd 產生器可以替 Apache 或 Nginx 的 HTTP Basic 認證快速產生 .htpasswd 檔所需的「帳號:雜湊」字串。只要輸入帳號與密碼、選擇雜湊演算法,就能得到可直接貼進設定檔的那一行,不必在伺服器上安裝 apache2-utils 或執行 htpasswd 指令。支援目前最推薦的 bcrypt(可調 cost),以及相容性高的 SHA-1。
產生過程完全在你的瀏覽器本機完成,密碼與雜湊都不會上傳到任何伺服器,適合在設定後台保護、內部站台、staging 環境的存取控制時使用。bcrypt 每次產生的雜湊都不同(內含隨機 salt),屬正常現象,驗證時仍會通過。免安裝、免註冊,打開網頁即可使用。
使用步驟
- 輸入帳號與密碼(可按「隨機密碼」快速產生強密碼)。
- 選擇雜湊演算法:建議使用 bcrypt,並可調整 cost(預設 10)。
- 按「產生」,複製輸出的 user:hash 字串。
- 把該行貼進伺服器的 .htpasswd 檔,並於 Apache/Nginx 設定指向該檔即可。
常見問題
htpasswd 字串要放在哪裡?
通常存成一個 .htpasswd 檔(每行一組 user:hash),再於 Apache 的 AuthUserFile 或 Nginx 的 auth_basic_user_file 指向該檔,即可啟用 HTTP Basic 認證。
該選 bcrypt 還是 SHA?
建議優先選 bcrypt:含隨機 salt、可調運算成本,較能抵抗暴力破解。SHA-1({SHA})相容性高但安全性較弱,僅在舊環境需要時使用,請避免使用明文或不加 salt 的弱雜湊。
為什麼同一組帳密每次產生的 bcrypt 不一樣?
因為 bcrypt 每次都會加入隨機 salt,所以雜湊字串會不同,但驗證原密碼時仍會通過,這是正常且更安全的設計。
我的密碼會被上傳嗎?
不會。帳號、密碼與雜湊運算全部在你的瀏覽器本機完成,不會傳送到任何伺服器,關閉頁面後即清除。
需要付費或安裝嗎?
完全免費、免安裝、免註冊,用瀏覽器開啟網頁即可使用。