深入淺出 Git 許可權校驗 (最熟悉的陌生概念)

02-09

藉助上次「掉坑」的經歷，我對Git許可權校驗的兩種方式重頭進行了梳理，形成了這篇總結記錄。

在本地計算機與GitHub（或GitLab）進行通信時，傳輸主要基於兩種協議，HTTPS和SSH，對應的倉庫地址就是HTTPS URLs和SSH URLs。

首先需要強調的是，HTTPS URLs和SSH URLs對應的是兩套完全獨立的許可權校驗方式，主要的區別就是HTTPS URLs採用賬號密碼進行校驗，SSH URLs採用SSH秘鑰對進行校驗。平時使用的時候我們可以根據實際情況，選擇一種即可。

HTTPS URLs

GitHub官方推薦採用HTTPS URLs的方式，因為該種方式適用面更廣（即使在有防火牆或代理的情況下也同樣適用），使用更方便（配置更簡單）。

採用HTTPS URLs地址clone/fetch/pull/push倉庫時，事先無需對本地系統進行任何配置，只需要輸入GitHub的賬號和密碼即可。不過如果每次都要手動輸入賬號密碼，也是一件很繁瑣的事情。

好在已經有多個機制可以讓操作不用這麼麻煩。

在Mac系統中，在啟用Keychain機制的情況下，首次輸入GitHub賬號密碼後，認證信息就會自動保存到系統的Keychain中，下次再次訪問倉庫時就會自動讀取Keychain中保存的認證信息。

在非Mac系統中，雖然沒有Keychain機制，但是Git提供了credential helper機制，可以將賬號密碼以cache的形式在內存中緩存一段時間（默認15分鐘），或者以文件的形式存儲起來（~/.git-credentials）。當然，Mac系統如果不啟用Keychain機制，也可以採用這種方式。

# cache credential in memory$ git config --global credential.helper cache# store credential in ~/.git-credential$ git config --global credential.helper store

在credential.helper設置為store的情況下，首次輸入GitHub賬號密碼後，就會自動保存到~/.git-credentials文件中，保存形式為https://user:pass@github.com；下次再次訪問倉庫時就會自動讀取~/.git-credentials中保存的認證信息。

另一個需要說明的情況是，如果在GitHub中開啟了2FA（two-factor authentication），那麼在本地系統中輸入GitHub賬號密碼時，不能輸入原始的密碼（即GitHub網站的登錄密碼），而是需要事先在GitHub網站中創建一個Personal access token，後續在訪問代碼倉庫需要進行許可權校驗的時候，採用access token作為密碼進行輸入。

SSH URLs

除了HTTPS URLs，還可以採用SSH URLs的方式訪問GitHub代碼倉庫。

採用SSH URLs方式之前，需要先在本地計算機中生成SSH keypair（秘鑰對，包括私鑰和公鑰）。默認情況下，生成的秘鑰位於$HOME/.ssh/目錄中，文件名稱分別為id_rsa和id_rsa.pub，通常無需修改，保持默認即可。不過，如果一台計算機中存在多個秘鑰對，就需要修改秘鑰文件名，名稱沒有強制的命名規範，便於自己辨識即可。

如下是創建秘鑰對的過程。

? ssh-keygen -t rsa -b 4096 -C "mail@debugtalk.com"Generating public/private rsa key pair.Enter file in which to save the key (/Users/Leo/.ssh/id_rsa): /Users/Leo/.ssh/debugtalk_id_rsaEnter passphrase (empty for no passphrase): <myPassphrase>Enter same passphrase again: <myPassphrase>Your identification has been saved in /Users/Leo/.ssh/debugtalk_id_rsa.Your public key has been saved in /Users/Leo/.ssh/debugtalk_id_rsa.pub.The key fingerprint is:SHA256:jCyEEKjlCU1klROnuBg+UH08GJ1u252rQMADdD9kYMo mail@debugtalk.comThe keys randomart image is:+---[RSA 4096]----+|+*BoBO+. ||o=oO=** ||++E.*+o. ||+ooo +o+ ||.o. ..+oS. . || . o. . o || . . || . . || .. |+----[SHA256]-----+

在創建秘鑰的過程中，系統還建議創建一個名為passphrase的東西，這是用來幹嘛的呢？

首先，單獨採用密碼肯定是不夠安全的。如果密碼太簡單，那麼就很容易被暴力破解，如果密碼太複雜，那麼用戶就很難記憶，記錄到小本子裡面更不安全。

因此，SSH keys誕生了。SSH秘鑰對的可靠性非常高，被暴力破解的可能性基本沒有。不過，這要求用戶非常謹慎地保管好私鑰，如果別人使用你的計算機時偷偷地將你的私鑰拷走了，那麼就好比是別人拿到了你家裡的鑰匙，也能隨時打開你家的門。
基於以上情況，解決辦法就是在SSH keys之外再增加一個密碼，即passphrase。只有同時具備SSH private key和passphrase的情況下，才能通過SSH的許可權校驗，這就大大地增加了安全性。當然，這個passphrase也不是必須的，在創建秘鑰對時也可以不設置passphrase。
另外，如果每次許可權校驗時都要輸入passphrase，這也是挺麻煩的。好在我們不用再擔心這個問題，因為ssh-agent可以幫我們記住passphrase，Mac系統的Keychain也可以記住passphrase，這樣我們在同一台計算機中就不用重新輸入密碼了。

秘鑰對創建好以後，私鑰存放於本地計算機（~/.ssh/id_rsa），將公鑰（~/.ssh/id_rsa.pub）中的內容添加至GitHub賬戶。

# copy the contents of id_rsa.pub to the clipboard? pbcopy < ~/.ssh/id_rsa.pub# paste to GitHub# Login GitHub, 【Settings】->【SSH and GPG keys】->【New SSH Key】

不過，如果此時檢測本地計算機與GitHub的連接狀態，會發現系統仍提示許可權校驗失敗。

? ssh -T git@github.com Permission denied (publickey).

這是因為在本地計算機與GitHub建立連接的時候，實際上是本機計算機的ssh-agent與GitHub伺服器進行通信。雖然本地計算機有了私鑰，但是ssh-agent並不知道私鑰存儲在哪兒。因此，要想正常使用秘鑰對，需要先將私鑰加入到本地計算機的ssh-agent中（添加過程中需要輸入passphrase）。

# start ssh-agent in the background? eval "$(ssh-agent -s)"Agent pid 78370? ssh-add ~/.ssh/id_rsaEnter passphrase for /Users/Leo/.ssh/id_rsa: <myPassphrase>Identity added: /Users/Leo/.ssh/id_rsa (/Users/Leo/.ssh/id_rsa)

添加完成後，就可以查看到當前計算機中存儲的密鑰。

? ssh-add -l 4096 SHA256:xRg49AgTxxxxxxxx8q2SPPOfxxxxxxxxRlBY /Users/Leo/.ssh/id_rsa (RSA)

再次檢測本地計算機與GitHub的連接狀態，校驗就正常通過了。

? ssh -T git@github.comHi djileolee! Youve successfully authenticated, but GitHub does not provide shell access.

後續再進行clone/fetch/pull/push操作時，就可以正常訪問GitHub代碼倉庫了，並且也不需要再重新輸入賬號密碼。

而且，將私鑰加入ssh-agent後，即使刪除私鑰文件，本地計算機仍可以正常訪問GitHub代碼倉庫。

? rm -rf ~/.ssh? ssh-add -l 4096 SHA256:xRg49AgTxxxxxxxx8q2SPPOfxxxxxxxxRlBY /Users/Leo/.ssh/id_rsa (RSA)? ssh -T git@github.comThe authenticity of host github.com (192.30.252.130) cant be established.RSA key fingerprint is SHA256:nThbg6kXUpJWGl7E1IGOCspRomTxdCARLviKw6E5SY8.Are you sure you want to continue connecting (yes/no)? yesWarning: Permanently added github.com,192.30.252.130 (RSA) to the list of known hosts.Hi djileolee! Youve successfully authenticated, but GitHub does not provide shell access.

只有執行ssh-add -D或ssh-add -d pub_key命令，將私鑰從ssh-agent刪除後，認證信息才會失效。

? ssh-add -d ~/.ssh/id_rsa.pubIdentity removed: /Users/Leo/.ssh/id_rsa.pub (mail@debugtalk.com)? ssh-add -lThe agent has no identities.? ssh -T git@github.comPermission denied (publickey).

同時使用多個GitHub賬號

熟悉了HTTPS URLs和SSH URLs這兩種校驗方式之後，我們再來看之前遇到的問題。要想在一台計算機上同時使用多個GitHub賬號訪問不同的倉庫，需要怎麼做呢？

為了更好地演示，現假設有兩個GitHub賬號，debugtalk和djileolee，在兩個賬號中各自有一個倉庫，debugtalk/DroidMeter和DJIXY/MobileStore（公司私有庫）。

前面已經說過，HTTPS URLs和SSH URLs對應著兩套獨立的許可權校驗方式，因此這兩套方式應該是都能單獨實現我們的需求的。

不過在詳細講解Git許可權校驗的問題之前，我們先來回顧下Git配置文件的優先順序。

Git配置存儲位置及其優先順序

Unix-like系統中，保存Git用戶信息的主要有3個地方（Mac系統多一個Keychain）：

/etc/gitconfig：存儲當前系統所有用戶的git配置信息，使用帶有--system選項的git config時，配置信息會寫入該文件；
~/.gitconfig或~/.config/git/config：存儲當前用戶的git配置信息，使用帶有--global選項的git config時，配置信息會寫入該文件；
Keychain Access：在開啟Keychain機制的情況下，進行許可權校驗後會自動將賬號密碼保存至Keychain Access。
倉庫的Git目錄中的config文件（即repo/.git/config）：存儲當前倉庫的git配置信息，在倉庫中使用帶有--local選項的git config時，配置信息會寫入該文件；

在優先順序方面，以上4個配置項的優先順序從上往下依次上升，即repo/.git/config的優先順序最高，然後Keychain Access會覆蓋~/.gitconfig中的配置，~/.gitconfig會覆蓋/etc/gitconfig中的配置。

基於SSH協議實現多賬號共存

先來看下如何採用SSH URLs實現我們的需求。

在處理多賬號共存問題之前，兩個賬號均已分別創建SSH秘鑰對，並且SSH-key均已加入本地計算機的ssh-agent。

? ssh-add -l4096 SHA256:lqujbjkWM1xxxxxxxxxxG6ERK6DNYj9tXExxxxxx8ew /Users/Leo/.ssh/dji_id_rsa (RSA)4096 SHA256:II2O9vZutdQr8xxxxxxxxxxD7EYvxxxxxxbynx2hHtg /Users/Leo/.ssh/id_rsa (RSA)

在詳細講解多賬號共存的問題之前，我們先來回想下平時在Terminal中與GitHub倉庫進行交互的場景。

? DroidMeter git:(master) git pullAlready up-to-date.? DroidMeter git:(master) touch README.md? DroidMeter git:(master) ? git add .? DroidMeter git:(master) ? git commit -m "add README"? DroidMeter git:(master) git pushCounting objects: 3, done.Delta compression using up to 4 threads.Compressing objects: 100% (2/2), done.Writing objects: 100% (3/3), 310 bytes | 0 bytes/s, done.Total 3 (delta 0), reused 0 (delta 0)To git@debugtalk:debugtalk/DroidMeter.git 7df6839..68d085b master -> master

在操作過程中，本地計算機的ssh-agent與GitHub伺服器建立了連接，並進行了賬號許可權校驗。

當本地計算機只有一個GitHub賬號時，這個行為並不難理解，系統應該會採用這個唯一的GitHub賬號進行操作。那如果本地計算機中有多個Github賬號時，系統是根據什麼來判斷應該選擇哪個賬號呢？

實際情況是，系統沒法進行判斷。系統只會有一個默認的賬號，然後採用這個默認的賬號去操作所有的代碼倉庫，當賬號與倉庫不匹配時，就會報許可權校驗失敗的錯誤。

那要怎樣才能讓系統正確區分賬號呢？這就需要我們手動進行配置，配置文件即是~/.ssh/config。

創建~/.ssh/config文件，在其中填寫如下內容。

# debugtalkHost debugtalk HostName github.com User git IdentityFile ~/.ssh/id_rsa# DJIHost djileolee HostName github.com User git IdentityFile ~/.ssh/dji_id_rsa

要理解以上配置文件的含義並不難，我們可以對比看下兩個項目的SSH URLs：

git@github.com:debugtalk/DroidMeter.gitgit@github.com:DJISZ/Store_Android.git

其中，git是本地ssh-agent與GitHub伺服器建立SSH連接採用的用戶名（即User），http://github.com是GitHub伺服器的主機（即HostName）。

可以看出，如果採用原始的SSH URLs，由於User和HostName都相同，本地計算機並不知道應該採用哪個SSH-key去建立連接。

因此，通過創建~/.ssh/config文件，在Host中進行區分，然後經過CNAME映射到HostName，然後分別指向不同的SSH-key，即IdentityFile。由於HostName才是真正指定GitHub伺服器主機的欄位，因此這麼配置不會對本地ssh-agent連接GitHub主機產生影響，再加上Host別名指向了不同的SSH-key，從而實現了對兩個GitHub賬號的分離。

配置完畢後，兩個GitHub賬號就可以通過Host別名來進行區分了。後續再與GitHub伺服器進行通信時，就可以採用Host別名代替原先的http://github.com。例如，測試本地ssh-agent與GitHub伺服器的連通性時，可採用如下方式：

? ssh -T git@debugtalk Hi debugtalk! You have successfully authenticated, but GitHub does not provide shell access.? ssh -T git@djileoleeHi djileolee! You have successfully authenticated, but GitHub does not provide shell access.

可以看出，此時兩個賬號各司其職，不會再出現混淆的情況。

不過，我們還遺漏了很重要的一點。在本地代碼倉庫中執行push/pull/fetch等操作的時候，命令中並不會包含Host信息，那系統怎麼知道我們要採用哪個GitHub賬號進行操作呢？

答案是，系統還是沒法判斷，需要我們進行配置指定。

顯然，不同的倉庫可能對應著不同的GitHub賬號，因此這個配置不能配置成全局的，而只能在各個項目中分別進行配置，即repo/.git/config文件。

配置的方式如下：

在debugtalk/DroidMeter倉庫中：

? git remote add origin git@debugtalk:debugtalk/DroidMeter.git

在DJIXY/MobileStore.git倉庫中：

? git remote add origin git@djileolee:DJIXY/MobileStore.git

配置的原理也很容易理解，就是將倉庫的Host更換為之前設置的別名。添加完畢後，後續再在兩個倉庫中執行任何git操作時，系統就可以選擇正確的SSH-key與GitHub伺服器進行交互了。

基於HTTPS協議實現多賬號共存

再來看下如何採用HTTPS URLs實現我們的需求。

有了前面的經驗，我們的思路就清晰了許多。採用HTTPS URLs的方式進行Git許可權校驗後，系統會將GitHub賬號密碼存儲到Keychain中（Mac系統），或者存儲到~/.git-credentials文件中（Git credential helper）。

不管是存儲到哪裡，我們面臨的問題都是相同的，即如何在代碼倉庫中區分採用哪個GitHub賬號。

配置的方式其實也很簡單：

在debugtalk/DroidMeter倉庫中：

? git remote add origin https://debugtalk@github.com/debugtalk/DroidMeter.git

在DJIXY/MobileStore.git倉庫中：

? git remote add origin https://djileolee@github.com/DJIXY/MobileStore.git

配置的原理也很容易理解，將GitHub用戶名添加到倉庫的Git地址中，這樣在執行git命令的時候，系統就會採用指定的GitHub用戶名去Keychain或~/.git-credentials中尋找對應的認證信息，賬號使用錯亂的問題也就不復存在了。

Done!