我在bash (Ubuntu 16.04 LTS)中有同样的需求，答案中提供的命令在我的情况下无法工作。我不得不使用:

curl -X POST -F 'username="$USER"' -F 'password="$PASS"' "http://api.somesite.com/test/blah?something=123"

-F参数中的双引号仅在使用变量时才需要，因此从命令行…-F 'username=myuser'…会没事的。

相关安全注意:正如Mark Ribau先生在注释中指出的那样，此命令在进程列表中显示密码($PASS变量，展开)!

更安全的做法是:

curl --netrc-file my-password-file http://example.com

.．.由于在命令行上传递普通的用户/密码字符串，这是一个坏主意。

密码文件的格式为(按照man curl):

machine <example.com> login <username> password <password>

注意:

机器名不能包含https://或类似!只有主机名。 “machine”、“login”和“password”只是关键词;真正的信息是那些关键字之后的东西。

你也可以这样发送用户名:

curl -u USERNAME http://server.example

然后Curl将要求您输入密码，并且密码将不会在屏幕上显示(或者如果您需要复制/粘贴该命令)。

很简单，做以下几点:

curl -X GET/POST/PUT <URL> -u username:password

简单地说，最安全的方法是使用环境变量来存储/检索凭据。因此，curl命令如下:

curl -Lk -XGET -u "${API_USER}:${API_HASH}" -b cookies.txt -c cookies.txt -- "http://api.somesite.com/test/blah?something=123"

然后调用您的restful api，并将API_USER和API_HASH的Base64编码值传递给http WWW_Authentication头。lk只是告诉curl遵循http 30x重定向并使用不安全的tls处理(即忽略ssl错误)。而double——只是bash语法中停止处理命令行标志的糖。此外，-b cookie .txt和-c cookie .txt标记处理cookie， -b发送cookie， -c本地存储cookie。

手册中有更多认证方法的示例。

要让密码至少不弹出在你的.bash_history:

curl -u user:$(cat .password-file) http://example-domain.tld