Центр знаний DevOps
Центр знаний DevOps

Решение распространенных ошибок аутентификации Git с использованием SSH и токенов

Сталкиваетесь с постоянными ошибками аутентификации Git, такими как «403 Forbidden» или повторяющимися запросами учетных данных? Это руководство предлагает экспертные решения для перехода от устаревших парольных входов. Узнайте о безопасной настройке ключей SSH, о том, как генерировать и использовать Персональные токены доступа (PAT) для HTTPS, а также о лучших практиках настройки нативных для ОС помощников по учетным данным в macOS, Windows и Linux. Выполните эти шаги, чтобы обезопасить ваше соединение и навсегда устранить проблемы с аутентификацией.

40 просмотров

Решение распространенных ошибок аутентификации Git с использованием SSH и токенов

Ошибки аутентификации являются частой причиной разочарования для пользователей Git, особенно при клонировании, получении (pull) или отправке (push) кода. Постоянные сбои, часто проявляющиеся как сообщения fatal: Authentication failed (фатальная ошибка: Аутентификация не удалась) или 403 Forbidden (Доступ запрещен), указывают на то, что Git не может надежно подтвердить вашу личность у удаленного хостинг-сервиса (например, GitHub, GitLab или Bitbucket).

Это подробное руководство рассматривает основные причины таких сбоев. Мы отойдем от простых запросов имени пользователя/пароля — которые в настоящее время в значительной степени устарели — и сосредоточимся на современных, безопасных методах аутентификации: SSH-ключах и Персональных токенах доступа (PAT).

Освоение этих методов имеет решающее значение для надежного рабочего процесса разработки, гарантируя, что ваши учетные данные будут одновременно безопасными и правильно распознаваться вашим провайдером Git.

1. Диагностика индикаторов сбоя аутентификации

Прежде чем применять решение, крайне важно понять, почему Git терпит неудачу. Ошибки аутентификации, как правило, возникают по двум основным причинам: срок действия учетных данных истек или они были отозваны, либо используется неверный протокол (HTTPS против SSH) для сохраненных учетных данных.

Распространенные сообщения об ошибках

  • 403 Forbidden (Доступ запрещен): Обычно это означает, что ваша попытка подключения прошла успешно, но предоставленные учетные данные (пароль или токен) не имеют необходимых разрешений для выполнения операции.
  • fatal: Authentication failed for 'https://...' (фатальная ошибка: Аутентификация не удалась для 'https://...'): Указывает на то, что Git попытался использовать сохраненные учетные данные (часто через помощник по учетным данным), но они оказались недействительными, или действительные учетные данные не были найдены.
  • Цикл запроса пароля: Если вас неоднократно запрашивают пароль через HTTPS, это часто означает, что ваш хостинг-провайдер больше не принимает пароли для операций Git, требуя вместо этого Персональный токен доступа.

Определение типа вашего подключения

Git выполняет аутентификацию по-разному в зависимости от схемы удаленного URL-адреса. Проверьте удаленный URL вашего репозитория:

git remote -v
Схема URL Требуемый метод аутентификации
https://github.com/user/repo.git Персональный токен доступа (PAT) через HTTPS
[email protected]:user/repo.git Пара ключей SSH

Если вы намеревались использовать SSH, но удаленный URL — HTTPS, или наоборот, вам необходимо либо изменить URL, либо переключить методы аутентификации.

Чтобы переключиться с HTTPS на SSH:

git remote set-url origin [email protected]:USERNAME/REPOSITORY.git

2. Решение 1: Настройка аутентификации с помощью SSH-ключей

SSH-ключи обеспечивают самый безопасный и оптимизированный способ аутентификации в сервисах Git, не требуя последующих запросов пароля после первоначальной настройки. Они основаны на паре публичного и приватного ключей.

2.1 Проверка существующих SSH-ключей

Убедитесь, что на вашей машине уже сгенерирована пара SSH-ключей:

ls -al ~/.ssh

Ищите файлы с именами id_rsa, id_ed25519 или аналогичные, в паре с соответствующим файлом .pub (публичный ключ).

2.2 Генерация новой пары SSH-ключей

Если подходящего ключа нет, сгенерируйте новый. Ed25519 — рекомендуемый современный алгоритм, хотя RSA 4096 бит также считается безопасным.

# Сгенерировать ключ Ed25519
ssh-keygen -t ed25519 -C "[email protected]"

# Следуйте инструкциям. Настоятельно рекомендуется использовать надежный пароль (passphrase).

2.3 Регистрация публичного ключа на вашем хостинге Git

Публичный ключ должен быть зарегистрирован на вашем хостинге Git (например, в настройках GitHub, настройках GitLab).

  1. Скопируйте содержимое публичного ключа в буфер обмена:
    bash cat ~/.ssh/id_ed25519.pub
  2. Перейдите в настройки вашего хостинг-сервиса и найдите раздел, посвященный SSH-ключам.
  3. Вставьте все содержимое файла публичного ключа в поле регистрации ключа.

2.4 Тестирование SSH-подключения

После регистрации протестируйте соединение, чтобы убедиться, что хост распознает ваш ключ. Используйте следующую команду, заменив github.com при необходимости:

ssh -T [email protected]

В случае успеха вы получите приветственное сообщение, подтверждающее вашу аутентификацию, например: Hi USERNAME! You've successfully authenticated... (Привет, ИМЯ_ПОЛЬЗОВАТЕЛЯ! Вы успешно прошли аутентификацию...)

Совет: Если подключение не удается, убедитесь, что ваш SSH-агент запущен и загрузил ваш ключ. Используйте eval "$(ssh-agent -s)", а затем ssh-add ~/.ssh/id_ed25519 (или путь к вашему ключу).

3. Решение 2: Использование Персональных токенов доступа (PAT) для HTTPS

Если вы предпочитаете продолжать использовать удаленные URL-адреса HTTPS (или вам запрещено использовать SSH), вы должны использовать Персональный токен доступа (PAT) вместо пароля вашей учетной записи. Это критически важное требование на основных платформах с 2021 года.

3.1 Генерация Персонального токена доступа

PATs генерируются непосредственно в настройках безопасности вашего хостинга Git.

  1. Перейдите в Настройки: Перейдите в настройки своего профиля, обычно в раздел Developer Settings (Настройки разработчика) или Access Tokens (Токены доступа).
  2. Сгенерировать новый токен: Укажите описательное имя и установите срок действия (рекомендуется устанавливать срок действия, например, 90 дней).
  3. Определите области действия (Scopes): Важно предоставить необходимые разрешения (области действия). Для общего доступа к репозиторию вам обычно требуется область действия repo.
  4. Сохраните токен: После генерации немедленно скопируйте токен. Он больше не будет показан.

Внимание: Обращайтесь с вашим PAT как с паролем. В случае компрометации он предоставляет полный доступ к назначенным вами областям действия.

3.2 Использование PAT

При выполнении операции Git через HTTPS вам будет предложено ввести имя пользователя и пароль.

Запрос Значение для ввода
Username: (Имя пользователя:) Ваше фактическое имя пользователя Git
Password: (Пароль:) Полная строка Персонального токена доступа (PAT)

После ввода Git обычно сохраняет этот токен в безопасном месте с помощью помощника по учетным данным (см. Раздел 4).

4. Управление учетными данными с помощью Помощников по учетным данным (Credential Helpers)

Повторный ввод длинных PATs непрактичен. Помощники по учетным данным Git безопасно кэшируют или хранят ваши данные для аутентификации, чтобы вам нужно было вводить их только один раз.

4.1 Настройка помощника по учетным данным по умолчанию

Помощники по учетным данным управляют тем, как Git сохраняет вашу информацию для аутентификации. Самые безопасные методы используют нативное хранилище безопасности операционной системы.

Для macOS: Используйте помощник Keychain Access (часто включен по умолчанию):

git config --global credential.helper osxkeychain

Для Windows: Используйте Диспетчер учетных данных Windows:

git config --global credential.helper manager

Для Linux: Помощник cache может временно хранить учетные данные, но помощник store хранит их без шифрования (используйте с осторожностью).

# Кэширует учетные данные в памяти в течение 1 часа (3600 секунд)
git config --global credential.helper 'cache --timeout=3600'

4.2 Сброс сохраненных учетных данных

Если ошибки аутентификации сохраняются, виновником, вероятно, являются существующие сохраненные (но недействительные) учетные данные. Вам необходимо очистить сохраненные учетные данные, чтобы заставить Git снова запросить у вас PAT.

Если вы используете Keychain в macOS:

  1. Откройте приложение Keychain Access.
  2. Найдите github.com или ваш хост Git.
  3. Удалите соответствующую запись пароля интернета.

Если вы используете Диспетчер учетных данных Windows:

  1. Откройте Панель управления и перейдите в Диспетчер учетных данных.
  2. В разделе «Учетные данные Windows» найдите общие учетные данные, связанные с git:https://... или доменом вашего хоста.
  3. Удалите запись.

После очистки старых учетных данных следующая операция Git (например, git pull) запросит у вас имя пользователя и новый PAT, который помощник затем сохранит в безопасном месте.

Резюме и дальнейшие шаги

Решение постоянных ошибок аутентификации Git сводится к тому, чтобы убедиться, что вы используете современный, поддерживаемый тип учетных данных (SSH-ключ или PAT), соответствующий протоколу удаленного URL-адреса (SSH или HTTPS).

Если ошибка сохраняется... Действие
403 Forbidden Проверьте области действия PAT или права доступа SSH-ключа на хосте.
Повторные запросы (HTTPS) Сгенерируйте Персональный токен доступа (PAT) и убедитесь, что помощник по учетным данным сохраняет его должным образом.
Ошибка SSH-ключа Убедитесь, что публичный ключ зарегистрирован и ssh-agent запущен и загружен приватным ключом.

Следуя этим шагам, вы сможете устранить ошибки, связанные с учетными данными, что приведет к более плавному и безопасному рабочему процессу Git.