- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在尝试了解 Maven 3 的[密码加密功能。我发现这个功能的记录很少并且令人困惑。例如,feature documentation和 a blog post by the author of the feature在几个问题上互相矛盾。
这个问题比 How does maven --encrypt-master-password work 更广泛并且不被 Maven encrypt-master-password good practice for choosing password 覆盖.
具体来说,我试图回答文档中未涵盖的以下问题。我已将迄今为止收集到的信息以斜体显示在每个问题下方。
settings-security.xml
中的存在即可提供安全性吗?在只有一个用户可以访问的文件夹中( ~/.m2
)?如果是这样,为什么要费心加密“主密码”(为什么不只使用一些随机值)?难道“主密码”真的只是密码函数的熵输入吗?称其为密码令人困惑 - 我希望 Maven 在解密任何加密的服务器密码之前提示我输入此密码,但它没有。我的理解是,是的,这仅通过存在于操作系统 protected 文件中来提供安全性。我相信 Maven 允许您加密主密码,这样如果您丢失了 settings-security.xml
文件,您可以重新生成它。这是正确的吗?
Marcelo Morales' answer on How does maven --encrypt-master-password work链接到plexus-cihper project on GitHub 。目前尚不清楚这只是密码,还是提供密码功能的实际 Maven 插件。
我不知道。
settings-security.xml
中,则使用一个加密主密码加密的常规密码仍然有效。文件,即使加密的主密码密文现在不同。有人可以解释一下这是如何工作的吗?我不知道。在我看来,Maven 正在做一些可疑的事情或在某处存储明文。
<server />
一起使用settings.xml
中的标签文件。这是真的? settings.xml
中定义的服务器在哪里会被使用吗?我的理解是<server />
定义可以在 <repositories />
中使用和<distributionManagement />
,但不是<scm />
。有人可以验证一下吗?
我不知道
抱歉,文字墙很长,感谢您的回答。
最佳答案
我的答案是基于阅读 Maven 源代码并做了一些研究。
- Does the encrypted master password provide security simply by existing in
settings-security.xml
in a folder that only one user can access (~/.m2
)? If so, why bother with encrypting a 'master password' (why not just use some random value)? Isn't the 'master password' really just an entropy input to the cryptographic function? Calling it a password is confusing - I expected Maven to prompt me for this password before de-crypting any encrypted server passwords, but it did not.
主密码是加密函数的输入,用于加密/解密服务器密码。如果某人拥有您的个人加密服务器密码,他们将无法解密它们,除非他们也拥有您的主密码。这意味着您可以与其他人自由共享您的 Maven settings.xml 文件,而他们无法解密您的服务器密码。这也是主密码保存在单独文件中的原因。
这个基本原理在encryption guide中有一些解释。
- Do the master password and server passwords use the same encryption process/cipher? The server passwords are based on the master password, so there must be some difference in the algorithm. Where is the source code for this located?
据我所知,主密码是使用与服务器密码相同的密码进行加密的。解密服务器密码时,主密码(未加密形式)是输入;解密主密码时,魔术字符串“settings.security”用作附加输入。
可以查看源码PBECipher和 MavenCli.java .
- I have observed that the same master password or server password encrypted multiple times gives different hashes. According to Marcelo Morales' answer on How does maven --encrypt-master-password work, this is because 'a JVM-configuration-specific (usually SHA1PRNG) 64-bit random salt' is added to the password prior to encrypting. Maven decrypts stored passwords when they are used at compile time. Doesn't this mean the salts have to be stored somewhere?
处理盐的传统方法是随机盐与加密文本一起存储。请参阅Wikipedia article .
根据上面链接的源代码,salt 似乎存储为 Base64 解码字节的前 8 个字节,位于加密密码之前。
- I have also observed that a regular password encrypted using one encrypted master password will still work if the master password is re-encrypted and stored in the
settings-security.xml
file, even though the encrypted master password ciphertext is now different. Can someone explain how this works?
这是因为使用了主密码的解密形式,而不是加密的“密文”。因此重新加密不会影响服务器密码加解密。
我不知道您最后两个(5 和 6)问题的答案。
关于security - Maven 3 密码加密是如何工作的?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30769636/
我试图理解 Maven 模块和 Maven 项目之间的区别。哪一个是什么以及我应该在哪里?谢谢 最佳答案 maven 模块就像一个 maven“子项目”。一个 Maven 项目包含 1 个或多个模块。
我们目前没有自己的存储库。因此,当我们使用 Maven 构建时,它会在当前用户的主目录中创建 .m2 存储库。 现在有两个在 Maven Central 中找不到的第三方 jar。假设其中之一是 ha
我有 Maven 项目,但在其中一台服务器上我必须在没有 Maven 的情况下构建它。 可以使用标准 JDK 命令。在哪里可以看到 Maven 在构建项目时向 JDK 发送了哪些命令? 最佳答案 Ma
我打算将 ImageJ 用于 web 应用程序,但似乎 ImageJ maven 依赖项不在中央 maven 存储库中。 我说得对吗? 当 ImageJ 2.x 发布时,这会改变吗? 最佳答案 您可以
我可以有多个 Maven 实例吗,即 Mave 2.2.1 和 Maven 3 都指向同一个本地存储库? 我的意思是我知道我可以在技术上将每个 settings.xml 指向同一个文件夹,但从长远来看
我有两个项目,项目 A 依赖于项目 B,所以通常,我的 projectA/pom.xml 中有以下部分: projectB blabla version1 我想要实现的目标非常简
在网上的许多地方,我看到它讨论了要使 maven 构建可重现,明确指定所有使用的插件的版本号很重要,这样更新的插件就不会破坏构建。推荐的方法似乎是使用 enforcer 插件。下面是我在网上找到的复制
有没有办法暂停 Maven 执行流程以提供命令提示符,以便用户可以输入文本。 然后我希望将提供的文本存储在 Maven 属性中。 如果用户输入可以被屏蔽,那将是一个奖励。 这对于避免在 pom.xml
我正在尝试使用 maven 插件将 maven java 项目的源文件夹添加到 Eclipse。 尝试使用 org.codehaus.mojo 插件时,我收到以下错误 无法在项目应用程序框架上执行目标
我有两个几乎相同的配置文件。我不想在每个配置文件中复制配置,而是希望一个配置文件从另一个配置文件“继承”,但我没有看到使用 maven 3 执行此操作的明显方法。 在 Maven 中是否可以继承配置文
我是 Maven 新手,花了大约 3 天的时间使用程序集插件生成 zip 文件,引用 http://www.petrikainulainen.net/programming/tips-and-tric
想象一下这种情况。我有一个使用 Maven 管理的开源项目,它依赖于一个不在 Maven 存储库中的知名库(例如 jpathwatch)。我怎样才能让它发挥作用? 直接的方法是将 jpathwatch
我将 Neo4j 和 MongoDB 与 Grails 一起使用,我想知道 Maven Neo4j 插件是否也为我的构建提供了 Neo4j 依赖项。 MongoDB 也是如此。 我很困惑。我应该使用什
我正在尝试同时发布多个 Maven 项目,将它们部署到 oss.sonatype.org,然后将它们发布到 Maven Central。 我有一个构建 pom,用于一起构建多个多模块项目。构建 pom
我有一个带有 maven pom.xml 的项目 4.0.0 Minimal-J Minimal-J 0.1-SNAPSHOT Minimal-J
我需要制作一个下载maven项目并打印其依赖项的小程序 像这样: MavenArtifactRepository repository = new MavenArtifactRepository("t
我有一个关于 maven 在构建过程中如何计算类路径的问题。具体来说,控制何时使用“目标/类”以及何时使用来自存储库(本地/远程)的“jar”。 我有一个版本为 1.0.0-SNAPSHOT 的项目,
我有一个 maven 项目,需要在命令行(-Dmy.property=val)设置一个属性。 我需要做的是将该字符串转换为所有大写,因为该属性是 用于通过 maven-resources-plugin
引用和转义如何对传递给 Maven 插件的参数起作用? 例如,我想将多个文件名作为参数传递给 Maven Exec 插件运行的应用程序: mvnDebug exec:java -Dexec.mainC
我在父 pom 的导入的 dependencyManagement 部分中指定了一个库版本。我确认我的有效 pom 只有一次出现这种依赖。它在依赖管理部分: org.jav
我是一名优秀的程序员,十分优秀!