网上找资料不那么好找，但解决方法是非常简单：

在htpasswd的浏览器验证通过之后的每次请求都会带有Authorization这个request header，把这个header直接用标准base64解码后就会得到明文的用户名和密码……这个头会从代理穿到后台，所以程序直接就能取到，解码就能得到用户名密码了。

但每次请求都会发送这个头的，从安全性上说不带上https就太差了，在一些拦截程序里等于是明码。