SSH 密钥与 git 身份验证的令牌有何不同？

Question

我最近开始收到有关 GitHub 弃用使用 Git 密码进​​行基本身份验证的通知 - 请参阅他们的博客文章 https://github.blog/2020-12-15-token-authentication-requirements-for-git-operations/。

在这篇文章中，他们说：

对于开发人员，如果您现在使用密码对 GitHub.com 的 Git 操作进行身份验证，则必须在 2021 年 8 月 13 日之前开始通过 HTTPS（推荐）或 SSH 密钥使用个人访问令牌，以避免中断。

不久前，我开始在我使用的一些机器上使用 SSH 密钥，以避免经常输入我的密码或使用凭证助手未加密地存储它。但是，如上所述，他们说“推荐”个人访问令牌。

我想知道这些方法之间的主要区别是什么？这是为了深入了解为什么“推荐”令牌以及是否值得切换到这种身份验证方法。

Answer 1

从the blog post you linked，我可以看到令牌相对于 SSH 密钥的至少一个好处：令牌和 SSH 密钥共享 Unique、Revocable 和 >随机在下面的博客文章中引用的好处，与 SSH 密钥相比，令牌也有限，因为它们带有自己的 scoped permissions baked in：

虽然 SSH 密钥可以只读或启用读写，或者仅限于特定存储库，但相比之下，个人访问令牌在其更细粒度的权限模型方面确实具有优势。这可能是 GitHub 推荐令牌而不是 SSH 密钥的原因。

与基于密码的令牌相比，令牌提供了许多安全优势 身份验证：

• 唯一 – 令牌特定于 GitHub，可以按使用或生成 每台设备
• 可撤销 - 令牌可以在任何时间单独撤销 无需更新未受影响的凭据的时间
• 有限 – 代币 可以缩小范围以仅允许使用所需的访问权限 案例
• 随机 - 令牌不受字典类型或 蛮力尝试您需要记住的更简单的密码 或定期输入可能是