Github不再支持基于密码的API访问

去年年底,Github官方层发公告推荐用户更新授权方式,从密码改为令牌,并将于2021年的8月13日完全停止密码的使用

image.png

Github 用户操作个人代码仓库时一般有两种方式,基于https和基于ssh。其中前者需要用户通过密码验证身份并进行后续操作。但是由于密码容易泄露等和易被盗取,安全性不足。虽然Github增加了双因素身份验功能,但是由于历史原因,很多用户仍然使用仅使用其用户名和密码进行验证,漏洞颇多。

鉴于此原因,从今年8月13日起,Github 对 Git 操作进行身份验证时不再接受帐户密码,并将要求使用基于令牌(token)的身份验证。 使用 SSH 方式的用户不受影响。

token的优势

  • 唯一性: token只服务于Github,按需生成,不会因为用户其它网站的密码泄露而产生风险
  • 可撤销:token可随时撤销,更加安全。
  • 范围可控:生成token时可以选择授权范围,甚至可以针对不同权限生成不同token
  • 随机性,token没有固定的密码形式,难以被记忆,自然也不会遗忘

创建token

image.png

Settings > Developer settings > Generate new token

然后输入授权有效期,并勾选token的操作范围

image.png

点击 Generate token

注意:要将token复制到剪贴板。 因为出于安全原因,离开此页面后,您将无法再次看到token。

使用token

后续进行 HTTPS 操作就可以使用此token了,以 push 代码为例

$ git clone https://github.com/username/repo.git
Username: your_username
Password: your_token

将 token 填入 密码即可

如果你在 github 创建了 token, 但是 push 的时候没有提示输入,此时可以先输入以下命令
git config --system --unset credential.helper

此外也可以在https地址中加入token

$ git push https://$your_token@github.com/username/repo.git

如果嫌每次敲命令都需要输入token太麻烦,也可以把令牌直接添加远程仓库链接中,这样就可以避免同一个仓库每次提交代码都要输入token

$ git remote set-url origin https://$your_token@github.com/username/repo.git