GitHub 改用基于令牌的 Git 操作认证
技术编辑:61丨发自 思否编辑部
公众号:SegmentFault
2020年 7 月 GitHub 对外宣称将不再接受账户密码来验证 Git 操作,如今 GitHub 在官方博客正式宣布:"从 2021 年 8 月 13 日 09:00 PST(北京时间 14 日 0 点)开始,在 GitHub.com 上认证 Git 操作时将不再接受账户密码。所有需要认证的 Git 操作将需要基于令牌的认证。
基于令牌认证的安全优势
独一无二:令牌特定于 GitHub,可以按使用或按设备生成;
可撤销:令牌可以在任何时候单独撤销,而不需要更新未受影响的凭证;
有限:令牌可以缩小范围以仅允许用例所需的访问;
随机:令牌不受用户需要记住或定期输入的更简单密码可能会受到的字典类型或暴力尝试的影响
受影响的工作流程
命令行访问 Git;
使用 Git 的桌面应用程序(GitHub Desktop 不受影响);
使用密码直接访问 GitHub.com 上的 Git 仓库的任何应用程序/服务
不受此更改的影响
已经为帐户启用了双步身份验证,在此之前已经在使用基于令牌或 SSH 的验证;
如果在使用 GitHub Enterprise Server,GitHub尚未宣布对企业内部产品进行任何更改;
如果在维护一个 GitHub App,GitHub Apps 不支持密码认证;
如果你还在使用用户名和密码来验证 Git 操作,那么应该采取以下步骤,以避免在新要求开始实施后出现异常。
对于开发者来说,如果你现在仍在使用密码来验证 GitHub.com 的操作,你必须在 2021 年 8 月 13 日之前通过 HTTPS(推荐)或 SSH 密钥开始使用个人访问令牌以避免中断。如果你收到警告说你正在使用一个过时的第三方集成,则应将你的客户端更新到最新版本。
对于集成商,你必须在 2021 年 8 月 13 日之前使用网络或设备授权流程认证对集成进行认证,以避免中断。
- END -