如何解决哪个更适合 GitHub 身份验证:SSH 密钥还是令牌?
我最近开始收到有关 GitHub 弃用使用 Git 密码进行基本身份验证的通知 - 请参阅他们的博客文章 https://github.blog/2020-12-15-token-authentication-requirements-for-git-operations/。
在这篇文章中,他们说:
对于开发人员,如果您今天使用密码对 GitHub.com 的 Git 操作进行身份验证,则必须在 2021 年 8 月 13 日之前通过 HTTPS(推荐)或 SSH 密钥开始使用个人访问令牌,以避免中断。
>不久前,我开始在我使用的一些机器上使用 SSH 密钥,以避免定期输入我的密码或使用凭证助手未加密地存储它。但是,如上所述,他们说“推荐”个人访问令牌。
我认为这在很大程度上取决于个人偏好或用例,但在某些方面令牌或 SSH 密钥哪个更好,为什么 GitHub 特别推荐令牌?
解决方法
从 the blog post you linked 中,我至少可以看到令牌相对于 SSH 密钥的一个好处:虽然令牌和 SSH 密钥都共享唯一性、可撤销和在下面的博文中引用了随机的好处,与 SSH 密钥相比,令牌也有限,因为它们带有自己的 scoped permissions baked in:
虽然 SSH 密钥可以是只读或可读写的,也可以限定为特定的存储库,但相比之下,个人访问令牌在其更细粒度的权限模型方面确实具有优势。这可能就是 GitHub 推荐令牌而不是 SSH 密钥的原因。
与基于密码的令牌相比,令牌提供了许多安全优势 身份验证:
- 唯一 – 令牌特定于 GitHub,可以每次使用生成或 每个设备
- 可撤销——令牌可以在任何时候单独撤销 无需更新未受影响的凭据
- 有限——代币 可以缩小范围以仅允许使用所需的访问 案例
- Random – 令牌不受字典类型或 蛮力尝试使用您需要记住的更简单的密码 或定期进入可能是
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。