关于github:GithubGit-操作的令牌认证要求

48次阅读

共计 1604 个字符,预计需要花费 5 分钟才能阅读完成。

2020 年 7 月,咱们发表咱们打算要求对所有通过身份验证的 Git 操作应用基于令牌的身份验证(例如,集体拜访、OAuth 或 GitHub 利用程序安装令牌)。从 2021 年 8 月 13 日开始,咱们将在 GitHub.com 上对 Git 操作进行身份验证时不再承受帐户明码。

工作流程受影响

  • 命令行 Git 拜访
  • 应用 Git 的桌面应用程序(GitHub Desktop 不受影响)
  • 应用您的明码间接拜访 GitHub.com 上的 Git 存储库的任何应用程序 / 服务

以下客户不受此更改的影响:

  • 如果您为您的帐户启用了双因素身份验证,则您曾经须要应用基于令牌或基于 SSH 的身份验证。
  • 如果您应用 GitHub Enterprise Server,咱们尚未发表对咱们的本地产品进行任何更改。
  • 如果您保护一个 GitHub App,GitHub Apps 不反对明码认证。

背景

咱们形容了咱们的动机,因为咱们发表了对 API 身份验证的相似更改,如下所示:

近年来,GitHub 客户受害于 GitHub.com 的许多平安加强性能,例如双因素身份验证、登录警报、通过验证的设施、避免应用受损明码和 WebAuthn 反对。这些性能使攻击者更难以获取在多个网站上重复使用的明码并应用它来尝试拜访您的 GitHub 帐户。只管有这些改良,但因为历史起因,未启用双因素身份验证的客户仍可能仅应用其 GitHub 用户名和明码持续对 Git 和 API 操作进行身份验证。

从 2021 年 8 月 13 日开始,咱们将在对 Git 操作进行身份验证时不再承受帐户明码,并将要求应用基于令牌的身份验证,例如集体拜访令牌(针对开发人员)或 OAuth 或 GitHub 利用程序安装令牌(针对集成商)GitHub.com 上所有通过身份验证的 Git 操作。您也能够持续在您喜爱的中央应用 SSH 密钥。

与基于明码的身份验证相比,令牌提供了许多平安劣势:

  1. 惟一– 令牌特定于 GitHub,能够按应用或按设施生成
  2. 可撤销– 能够随时独自撤销令牌,而无需更新未受影响的凭据
  3. 无限– 令牌能够放大范畴以仅容许用例所需的拜访
  4. 随机– 令牌不受您须要记住或定期输出的更简略明码可能会受到的字典类型或蛮力尝试的影响

你明天须要做什么

  • 对于开发人员,如果您明天应用明码对 GitHub.com 的 Git 操作进行身份验证,则必须在 2021 年 8 月 13 日之前通过 HTTPS(举荐)或 SSH 密钥开始应用集体拜访令牌,以防止中断。如果您收到正告,提醒您应用的是过期的第三方集成,则应将客户端更新到最新版本。
  • 对于集成商,您必须在 2021 年 8 月 13 日之前应用网络或设施受权流程对集成进行身份验证,以防止中断。无关更多信息,请参阅受权 OAuth 应用程序和开发者博客上的布告。

启用两因素身份验证

如果您想确保您的帐户不容许基于明码的身份验证,您能够立刻为您的帐户启用双因素身份验证。这将要求您通过 Git 和第三方集成对所有通过身份验证的操作应用集体拜访令牌。

掉电

为确保所有受影响的客户都晓得身份验证更改,在两次预约的断电期间,咱们将临时禁用对明码身份验证的反对,并且应用明码进行的 Git 操作将临时失败。限电工夫安顿在以下日期和工夫:

2021 年 6 月 30 日

  • 从 7:00 AM UTC – 10:00 AM UTC
  • 从 4:00 PM UTC – 7:00 PM UTC

2021 年 7 月 28 日

  • 从 7:00 AM UTC – 10:00 AM UTC
  • 从 4:00 PM UTC – 7:00 PM UTC

工夫线

  • 明天 ——如果您 明天 应用明码对 GitHub.com 的 Git 操作进行身份验证,您将很快收到一封电子邮件,催促您更新身份验证办法或第三方客户端。
  • 20216 月 30 日和 7 月 28 日– 所有 Git 操作都将临时须要令牌(或 SSH 密钥)身份验证,以激励受影响的客户更新他们的身份验证办法(见下文)。
  • 20218 月 13 日– 所有通过身份验证的 Git 操作都须要令牌(或 SSH 密钥)身份验证。

如果您有任何问题,请参阅相干的 API 明码验证博客文章,理解无关爱护帐户平安的更多信息,或分割 GitHub 反对。

正文完
 0