Сегодня пытался залогиниться из SourceTree в gitlab, получилось не сразу.
Не помню, чтобы этот момент раньше разжёвывали на Хабре.
Оказывается, теперь только один вариант аутентификации — это на странице создать токен и использовать его вместо пароля.
Теперь аутентификация в репозиторий гитлаба невозможно по логину и паролю. Теперь на один логин можно иметь 4 разных «пароля», сиречь токена. Каждый токен имеет свои права доступа.
То есть утечка пароля теперь не обязательно ведёт к потере всего на свете.
Теперь потеря логина и пароля для репозитория не будет угрожать учётке.
Логин и токен для репозитория можно раздавать всем подряд, права будут ограничены типом токена.
Сейчас четыре типа:
api — доступ на чтение и запись, как было раньше при аутентификации по логину и паролю.
read_user — позволяет только получить инфо о пользователе.
read_repository — позволяет читать (git pull) репозиторий (но не пушить в него).
read_registry — это я не понял — Grants read-only access to container registry images on private projects, кто-то объяснит в комментах?
Одновременно с тем, при добавлении пользователя в репозиторий ты выдаёшь ему права (гость Guest, читатель Reporter, разработчик Developer, администратор Maintainer).
То есть польза от новой системы в том, что не надо лишний раз регаться, чтобы получить пользователя с нужной ролью: если надо дать доступ только на чтение, то даёшь свой логин и выдаёшь токен, и на этом всё, удобно?
Не надо выдумывать новый логин для регистрации, не надо выдумывать пароль и где-то его хранить. Очень удобно.
Например, я сейчас провожу «тендер» на доработку вёрстки и всем заинтересованным даю доступ в репозиторий, сначала просил сказать логин на гит лабе, теперь буду раздавать токен только-чтение.
Токен всегда можно уничтожить. Можно каждому давать свой логин, можно всем один — гибкость!
Дисклеймер
Не помню, чтобы этот момент раньше разжёвывали на Хабре.
Новые токены
Оказывается, теперь только один вариант аутентификации — это на странице создать токен и использовать его вместо пароля.
Теперь аутентификация в репозиторий гитлаба невозможно по логину и паролю. Теперь на один логин можно иметь 4 разных «пароля», сиречь токена. Каждый токен имеет свои права доступа.
То есть утечка пароля теперь не обязательно ведёт к потере всего на свете.
Теперь потеря логина и пароля для репозитория не будет угрожать учётке.
Логин и токен для репозитория можно раздавать всем подряд, права будут ограничены типом токена.
Сейчас четыре типа:
api — доступ на чтение и запись, как было раньше при аутентификации по логину и паролю.
read_user — позволяет только получить инфо о пользователе.
read_repository — позволяет читать (git pull) репозиторий (но не пушить в него).
read_registry — это я не понял — Grants read-only access to container registry images on private projects, кто-то объяснит в комментах?
Система ролей сохранена
Одновременно с тем, при добавлении пользователя в репозиторий ты выдаёшь ему права (гость Guest, читатель Reporter, разработчик Developer, администратор Maintainer).
То есть польза от новой системы в том, что не надо лишний раз регаться, чтобы получить пользователя с нужной ролью: если надо дать доступ только на чтение, то даёшь свой логин и выдаёшь токен, и на этом всё, удобно?
Не надо выдумывать новый логин для регистрации, не надо выдумывать пароль и где-то его хранить. Очень удобно.
Например, я сейчас провожу «тендер» на доработку вёрстки и всем заинтересованным даю доступ в репозиторий, сначала просил сказать логин на гит лабе, теперь буду раздавать токен только-чтение.
Токен всегда можно уничтожить. Можно каждому давать свой логин, можно всем один — гибкость!