https 方式 push 到 github 不能用 gpg 吗 ?
frylkrttj · linlinggit · 2019-01-19 10:56:22 +08:00 · 3390 次点击这是一个创建于 2120 天前的主题,其中的信息可能已经有所发展或是发生改变。
看了好些天的 git 教程今天终于动手了,没想到刚 push 到 github 去居然提示要输入帐号密码,那一刹感觉以前的都白学了。我一直以为 push 是靠 gpg 密钥来的。
终端下输入帐号 密码 只能手动输入?每次都手动输入?这我要疯。我试了几次都没成功。
还是说我这次的方法不对。确实有用 gpg 钥匙 push 上去的法子? 我要 https 方法。
 |
1
iwishing 2019-01-19 11:17:46 +08:00
|
 |
2
springmarker 2019-01-19 11:31:55 +08:00 via Android  1
你说的是 ssh 方式吧
|
 |
3
zmj1316 2019-01-19 11:38:25 +08:00 via Android
Gpg 是签名用的 你要的是 ssh 配合密钥。。。
|
 |
4
xiri 2019-01-19 11:55:53 +08:00 via Android
gpg 不是签名用的吗,,,它的作用只是向公众证实这个操作是你本人做的,防止他人伪造 commit 记录。
你要免密码登录的话应该用用 ssh 密钥吧。 |
 |
5
Kobayashi 2019-01-19 12:02:34 +08:00 via Android 1
|
|
6
xiri 2019-01-19 12:14:20 +08:00 via Android
看了楼主以前的帖子,建议楼主先去了解一下 gpg 密钥和 ssh 密钥的作用及区别。
gpg 密钥只是用来签名的。ssh 密钥才是用来验证对 repo 的操作权的。 楼主已经用过 git 了,应该知道用过 git config 来配置信息,而 git config 时的用户名和邮箱是可以随你填的。这就导致了只要知道某个人的邮箱,我能够用他的邮箱往自己的 repo 里提交 commit,假装这是他做的操作。 而 gpg 密钥就是为了防止这种情况,你仍然可以用他的邮箱提交,但别人把这条伪造的提交跟他本人公开的 gpg 公钥一对比就能知道这不是本人。 说了这么多,简单来说就是楼主要免密码提交应该配置的是 ssh 密钥,而不是 gpg 密钥 |
 |
7
frylkrttj OP |
 |
8
BOYPT 2019-01-19 12:36:06 +08:00
|
|
9
frylkrttj OP 我还有点懵,既然 gpg 只是用来签名那 github 有必要 要用户的 gpg 公钥么? 都是在本地签名的吧。
既然是本地签名后再 push,那 github 填的 gpg 公钥是干嘛的。难道 github 也需要校对用户的代码是不是它自己 push 的? 既然 github 用我的公钥校对了我签名过的代码,那还有 https push 的时候还有必要要用户输入帐号密码吗?这不是多余的吗? |
|
10
frylkrttj OP git 或者 github 这种机制有点笨了吧,干嘛不能用户本地 gpg 加密后再 pushh 到远程仓库,再由远程仓库的公钥解密后呈现?
|
 |
11
chinvo 2019-01-19 12:43:04 +08:00 via iPhone
@frylkrttj #9 GitHub 上要展示一个 “ verified ” 标志啊,因为 pgp/gpg 是分布式的信任网络,也就是没有 ca,所以认定一个 gpg 签名是否合法通常依赖上传自己的 key 到 pool,发布受签名保护的内容时指定 /写明 key fingerprint
而 GitHub 要求你上传公钥的目的就是配合 email address verification 来确保签名信息使用的 gpg key 属于你(否则别人生成一个包含你的 email 的 gpg key 就能假装是你了 |
Select Language