Я научился использовать maven password encryption, и я хотел бы знать, как выбрать параметр <password>. Есть две вещи, которые я не понимаю:
1) mvn --encrypt-master-password foobar всегда будет отличаться от encrypted master password.
Так как encrypted master password всегда отличается, я вижу только две возможности:
- Локальное свойство хранится где-то, чтобы его можно было использовать для дешифрования
encrypted master password, чтобы получитьmaster password. Это означает, что нашencrypted server passwordsможно использовать только локально. - Ничего не сохраняется, а
master passwordбесполезен и не имеет значения.
Итак, мои вопросы здесь:
Что хранится локально? Будет ли мой
master passwordоставаться в безопасности? Есть ли третья возможность, о которой я не думал?
2) На веб-сайте maven написано:
Также обратите внимание, что зашифрованные пароли могут быть дешифрованы кем-то, у которого есть главный пароль и файл настроек настроек. Храните этот файл в безопасности (или сохранен отдельно), если вы ожидаете, что файл settings.xml может быть найден.
Если settings security file - это то, что нужно защитить, почему я должен беспокоиться о выборе сильного главного пароля? Не могу ли я использовать foobar и сохранить settings security file в безопасности?
Кроме того, похоже, что кому-то с двумя файлами (settings security file и settings file) не потребуется master password для подключения к серверам maven. Он мог использовать нашу личность, не зная паролей. master password является "единственным", необходимым для дешифрования servers passwords (чтобы получить их обычный текст). Но опять же, защита settings security file должна быть способом, и master password останется бесполезным.
Мои вопросы:
Насколько важна
master password? Должен ли я это запомнить? Могу ли я использовать длинную случайную фразу и забыть ее навсегда?
PS: Я не смог найти свой ответ здесь.