記錄一下配置git操作遠程倉庫時的自動驗證,效果如下圖:
本文介紹的是Linux下的配置。Windows上默認已經啓用憑證存儲和自動驗證(依靠wincred實現,以後會使用GCM-Core)。
準備工作
首先需要Linux系統上安裝了dbus或者是gnome-keyring(依賴於dbus),如果可能的話需要安裝libsecret,這是一個更現代的用於憑證管理的庫。因爲我們需要藉助dbus的service纔行實現憑證存儲:
# Ubuntu
sudo apt-get install libsecret-1-0 libsecret-1-dev gnome-keyring
# Arch Linux
sudo pacman -S libsecret gnome-keyring
其次你需要git 2.11+,一次make,pkg-config,gcc等編譯工具,可以用下面的命令安裝:
# Ubuntu
sudo apt install build-essential git pkg-config
# Arch Linux
sudo pacman pkg-config make gcc g++ git
最後,我們需要獲取個人的ACCESS TOKEN,因爲GitHub在2021年底將會廢除git操作時的密碼驗證,所有密碼驗證需要轉換爲TOKEN驗證,密碼只能用於賬戶本身的登錄。
首先我們要進設置界面,先打開github.com,然後跟着圖裏的步驟走:
然後點紅圈裏的開發者設置:
你會看到這樣的界面,上面列出了已經創建的token和創建/刪除按鈕:
下面是如何創建token,這裏建議只勾選你需要的權限,比如提交commit等,權限不是越多越好:
創建完成後會把token明文顯示給你,一定要妥善保存,因爲頁面一旦關閉/刷新這串token就只有你一個人知道了:
一旦token遺失或者沒用了,就要及時刪除,比如我剛剛爲了演示而創建的token演示結束就沒用了,所以要刪除:
有了access token,下面就可以配置自動登錄驗證了。
什麼是憑證存儲
就是字面意思,用某種方式把密碼或者token存儲起來,在需要的時候可以獲取這些被存儲的憑證。
git內置了對憑證存儲的支持,通過配置進行:
git config --global credential.helper xxx
如果沒有設置那麼默認不進行存儲,這個xxx
默認有2個選項:
- store 把憑證用明文存儲在$HOME目錄下,爲了安全建議不要設置它
- cache 把憑證存儲在內存裏15分鐘,15分鐘後刪除
除此之外還支持符合接口規範的第三方應用程序:
git config --global credential.helper your-tool
git config --global credential.helper /path/to/your-tool
對於第一種形式,git會去$PATH
裏找名字叫git-credential-your-tool
的程序,在設置的時候不用寫出前綴。第二種會直接調用絕對路徑指定的程序。
選用第三方工具是理由是安全:這些工具通常會加密你的憑證,並且存儲在一個不容易導致惡意訪問的地方,另外還可以和系統功能集成。
那麼從哪找這麼好的第三方管理程序呢?彆着急,git自帶了。
在Ubuntu系統上,git把這些程序的源碼存儲在:/usr/share/doc/git/contrib/credential/
這裏。在Arch Linux上則是/usr/share/git/credential
:
上圖是Arch Linux上的情況,gnome-keyring和libsecret、netrc是Linux上可以使用的工具。
因爲都是源碼,所以我們得先進行編譯。
配置
我們選擇libsecret,因爲gnome-keyring未來會被廢棄。
採用下面的命令編譯,以Ubuntu爲例子:
cd /usr/share/doc/git/contrib/credential/libsecret
sudo make
# 如果目錄所在的文件系統是ext4,xfs,btrfs,還可以用下面的命令禁止對程序的任何修改
sudo chattr +i git-credential-libsecret
你可以把該目錄添加進$PATH,然後指定credential.helper
:
echo '$PATH=$PATH:/usr/share/doc/git/contrib/credential/libsecret' >> ~/.bashrc
git config --global credential.helper libsecret
或者你不想修改$PATH,可以這樣配置:
git config --global credential.helper /usr/share/doc/git/contrib/credential/libsecret/git-credential-libsecret
這樣就大功告成了。
運行
爲了測試,我們隨便選擇一個自己的項目,先clone到本地,然後做些修改後commit。
只有在修改遠程倉庫的時候纔會進行憑證驗證,比如push。通常的過程是這樣的:
$ git push origin dev
Username for 'https://github.com': apocelipes
Password for 'https:/[email protected]':
雖然提示的文字仍然使用的密碼,但輸入的應該是我們之前創建的access token。
驗證通過後就會把變更push到origin,但配置自動驗證後第一次仍然需要輸入憑證,然後現在會是這樣:
需要爲你的密鑰環配置一個單獨的密碼,你也可以選擇用戶的默認密碼,配置完成後憑證就會被安全地存儲了。
下次push將不會再驗證用戶名和憑證,效果和文章開頭的圖片裏一樣。
這樣自動登錄認證就配置完成了。
參考
https://git-scm.com/book/zh/v2/Git-工具-憑證存儲
https://stackoverflow.com/questions/36585496/error-when-using-git-credential-helper-with-gnome-keyring-as-sudo/40312117#40312117