感谢各位的建议，最后的方案是把自己域名的 *.internal.example.com 在内网 dns 服务器中解析到了本地 ip 地址。
证书用了 let's encrypt 签发。
要让浏览器信任证书，看来没有更简单的办法啦。

@forty @yinmin @iceheart @IvanLi127 @lovelylain 谢谢，那看来这就是最好的方案了。

@NessajCN 现在不都讲究一个“零信任”的原则嘛，假设内网网络设备有问题，这样也保险。

@busier @jenson47 自签证书浏览器不信任，而且编程访问的时候会因为证书校验失败报错。

@MFWT 考虑过这种方法了，但是我自己也不敢绝对保证自签证书私钥的安全（最起码不能像权威 ca 机构那样保证），所以还是没有信任自己的证书。

@bluedawn @xcsoft passkey 确实是安全方便，唯一的问题就是兼容性，不过其实自己用也没必要考虑那么多。
但问题是 passkey 只是单次鉴权的方式，没办法持久化认证。

@lymanbernadette6 @hanierming 有些业务接触不到 Nginx 这层，而且这个不太好做限流，密码有被爆破的风险？
还是谢谢思路。

@nealot 这个本质上还是密码校验，就是是在 Nginx 这一层实现的。
但还是谢谢你的思路，确实比在应用中实现方便一点儿。

@busier 这是个思路。拓展一下：如果业务里接触不到 Nginx 这一层或者设备不方便安装证书的话，可以把证书放在浏览器的 localstorage 里，鉴权时服务器发送 challenge 由客户端签名后再返回给服务端校验，有点像 webauthn 。

@ferock 其实彩色打印对我来讲确实需求不大，平常基本没有什么彩色的文件需要打印，但就有种“我可以不用，你不能没有”的感觉。

@testonly 我看的这款 9010 原价是 3500 多，优惠完是两千出头，感觉价格确实有点高。
想问一下这类机器正常的价格应该在多少钱

大佬写的文章看着都挺专业的，网页也很漂亮。
我也有时候写点博客，闲的时候没事回来翻翻自己写的东西也挺有意思的。

@Inzufu 纯主观看法，写得多了点儿，希望能帮你打消顾虑 (⁠◕⁠ᴗ⁠◕⁠✿⁠)

我认为这是一个非常有意义的问题，
因为域名在设计初期本来是给企业和组织用的，后来随着互联网的普及与发展，个人用户也可以购买域名来写博客、收邮件，也有更多用户注意到了数字遗产的保存与继承问题。
同时，对于很多人而言，域名已经成为在网络世界中的一张名片，去世后域名被别人注册了就像把自己的身份给了别人，肯定会不舒服。

这种问题目前是无解的，我能想到的比较好的解决方法有两个：
1.注册商能推出一个前缀不能被重复注册的新顶级域，也能算是一个卖点。
2.在日常使用中就把生活类和正式类邮箱区分出来，注册重要应用时用 Gmail ，Outlook ，iCloud 等邮箱，给别人留邮箱时留域名邮箱，在显得专业的同时也能展示出自己的个性。

以下几个方面可以帮助你打消一些焦虑：
1. 每个域名在 Whois 中都是可以查到注册时间的，所以不用太担心去世后有人重新注册冒充你的身份。
2. 目前很多国家（包括国内）的手机号码也会被回收利用，而且在国内手机号码的鉴权权重明显高于邮件地址，可依旧没出很大的问题。
3. 我相信大多数人无意登录上了一个不属于自己的账号都会想着注销，最多去翻翻文件，当他发现是一位过世老人的账号后，他应该会感叹，而不会有恶意。

@heyeshuang 哈哈，就是有点担心这方面的问题，那看来确实是一种商业手段吧
@dann73580 谢谢，放心了

你应该用的是欧洲的 IP ，v2ex 使用 Google ads 投放广告，因为 GDPR 的缘故，谷歌会对欧洲 IP 的用户显示这个弹窗。
详见 /t/1011612

平邮好像是不能追踪的，
国内发国外的平邮不知道，
国外发国内的丢信率我估计得一半往上。

@thinkershare 我搜了一下 restful 这个关键词，最近一年左右只有我这一个帖子。
而且这种习惯性问题也不像理论性问题，每一个帖子中都会有好的想法可供参考，而且也会随时间的推移而产生更好的答案。
所以我感觉我这贴算不上无意义

我估计后期肯定要改，弄不好是 Bug ，确实不好看

@seers @OutOfMemoryError 那看来还是用 GET POST 比较好，我个人感觉 PUT 、PATCH 、DELETE 这三个 methods 其实完全可以用 POST 代替。