今天給自己提了一個問題，當我們在github.com或者gitlab上面新建倉庫，並克隆到本地，首次使用的時候，會被問及使用者名稱密碼，但是這兩個資訊存在哪裡呢？

帶著這個問題，我開始搜尋，並在《Pro Git》7.14 Git-工具-憑證儲存中讀到了完整的解答，但是當我第一次閱讀的時候，並沒有太清楚它所要表達的意思，於是我不斷嘗試後，總算是有所明白。

本文就作為一個解讀貼，作為補充。

憑證儲存究竟要解決什麼問題？

眾所周知，我們通常用SSH和HTTP協議來訪問遠端倉庫。

SSH協議並不採用這裡討論的憑證儲存。這裡重點要描述的其實是HTTP協議下的憑證儲存問題。

為什麼會有這個問題呢？因為git使用HTTP協議訪問遠端倉庫進行操作的時候，每個請求，都需要帶著使用者名稱和密碼以及一個防止重放攻擊的隨機碼。

預設情況下你為什麼沒有被要求每次都輸入使用者名稱密碼？

如果你是Mac系統，git預設是提供osxkeychain輔助程式來管理你的密碼，以至於每次你當你需要提供使用者名稱和密碼的時候，osxkeychain輔助程式都默默幫你填寫了。

如果你是Windows系統，你可能已經安裝了git-credential-winstore了。如果安裝的是GitGUI，則提供的是git-credential-manager。

除此之外，你也可以使用git-credential-store和git-credential-cache來管理密碼，前者在檔案中用明文儲存密碼，後者存在記憶體中。

而這幾種方式都可以同時存在。

我們該如何選擇/設定輔助程式的型別？

在回答這個問題前，我們先簡單看一下，什麼是輔助程式？這個翻譯對應的其實是credential.helper配置項，我們可以通過如下命令檢視當前配置：

git config --list | grep credential

Mac，預設會輸出：

include.path=.gitcredential

credential.helper=osxkeychain

對應的也就是Mac的“鑰匙串”系統，我們可以通過Mac系統選單頁面“其他->鑰匙串訪問”功能，搜尋git關鍵字檢視。

Windows安裝GitGUI後，預設會輸出：

credential.helper=manager
 

接下來，我們再設定一個明文檔案儲存的，也就是store型別的全域性儲存，使用下面的命令來試一下：

git config --global credential.helper store

雖然原文中提到store中提到可以使用--file命令，但是實測在命令列下無效。（原因不未知）

但是可以通過直接編輯配置檔案的方式來達到目的：

設定全域性的：

git config --global -e

設定針對當前專案的：

git config --local -e

然後在[credential]配置節下新增：

helper = store --file $HOME/git-credentials/global.gitcredentials
helper = store

其中，儲存該檔案的路徑必須提前存在。

兩行中，第一行代表指定目錄，第二行代表使用預設路徑。

（這裡我們分別對--global和--local都做了設定）

再次執行後

git config --list | grep credential

會輸出（Mac）：

include.path=.gitcredential

credential.helper=osxkeychain

credential.helper=store --file $HOME/git-credentials/global.gitcredentials

credential.helper=store

credential.helper=store --file $HOME/git-credentials/v-labs.gitcredentials

也就是說，不僅支援osxkeychain模式，還同時支援了store模式。

為了測試效果，開啟“鑰匙串訪問”程式（如果是Mac的話），搜尋git，把所有出現的都刪掉。

這時候使用git push命令向遠端提交變更。（因為剛剛設定了較多的輔助程式，因此會比較慢）。

這時如果提示輸入使用者名稱密碼，就按正確的值輸入。當你被提示成功後，這期間，我們剛剛輸入的密碼，都被存到了我們設定的所有輔助程式對應的憑證儲存中。

在“鑰匙串訪問”程式中，我們也會看到一條新增的憑證資訊。

我們既然儲存了密碼，那密碼在哪，又是什麼呢？

先來看幾個使用store型別的憑證儲存，它們以文字形式明文存在，我們剛剛既在指定路徑也在預設路徑上進行了設定，那麼我們分別輸入下面三個命令，就可以檢視到密碼了：

localhost:~ volnet$ cd git-credentials/

localhost:git-credentials volnet$ ls
global.gitcredentials   v-labs.gitcredentials

localhost:git-credentials volnet$ cat global.gitcredentials 
https://volnet:[email protected]

localhost:git-credentials volnet$ cat v-labs.gitcredentials 
https://volnet:[email protected]

localhost:git-credentials volnet$ cat ~/.git-credentials 
https://volnet:[email protected]

當然，也可以用《Pro Git》7.14 Git-工具-憑證儲存中提到的git credential-store --file ~/git.store store命令來讀取了。

那麼，使用Mac的osxkeychain的鑰匙串管理，是否可以拿回密碼呢？

答案是肯定的！

localhost:git-credentials volnet$ git credential-osxkeychain get
protocol=https
host=github.com

password=123321
username=volnet

get/store/erase是什麼作用？

從《Pro Git》7.14 Git-工具-憑證儲存看，這三個均稱為Action，其實也就是從輔助程式獲取密碼（get）/設定密碼（store）/刪除密碼（erase）。

剛剛的動作中能get到密碼了，那麼我們嘗試刪除一下。執行以下命令試一下：

localhost:v-labs volnet$ git credential-osxkeychain erase
protocol=https
host=github.com

再次用以下程式碼驗證，將沒有返回值。使用“鑰匙串訪問”程式，也將看不到新新增的憑證。

localhost:git-credentials volnet$ git credential-osxkeychain get
protocol=https
host=github.com

那git credential fill是什麼用的？

在每次進行訪問git push（或其他需要使用者名稱密碼的命令）的時候，都會呼叫該方法，它按照由近及遠的思路，嘗試向輔助程式獲取使用者密碼，如果成功，就用這個獲得的使用者密碼去訪問遠端倉庫。如果獲取不到，就會讓使用者輸入一次，並嘗試儲存下來。

因此我們第一次使用的時候，會被提示輸入使用者名稱密碼，就是因為git的內部呼叫了這個命令。

輔助程式是否可以自己定義呢？

按部就班：拿回自己的密碼

前面說了那麼多，都在幫助我們去理解整套憑證體系，這一段用一個連貫的思路來取回自己的密碼：

GC-RMBP:~ volnet$ git config --list | grep credential.helper
credential.helper=osxkeychain
GC-RMBP:~ volnet$ git credential-osxkeychain get
protocol=https
host=github.com

password=123321
username=volnet

其中第二個命令的osxkeychain是由第一個命令得出來的。

剛剛設定了那麼多，我想刪掉那些store儲存怎麼處理？

我們可以使用剛剛直接編輯config檔案的思路，直接修改後儲存。

同時我們需要注意，那些已經被明文儲存的密碼，我們需要自行刪掉。

也可以使用以下命令：

git config --global --unset credential.helper -f
git config --local --unset credential.helper -f
rm -rf $HOME/git-credentials
rm ~/.git-credentials 

使用下面命令驗證，應該已經看不到結果了：

localhost:~ volnet$ git credential-store get
protocol=https
host=github.com

至此，所有關於配置相關的內容都已經解釋完畢。

結論就是，如果不打算明文儲存密碼，就儘量使用SSH的方式。

參考資料

共享編輯