source_credentials.json

警告

此功能为实验性功能,可能会发生重大更改。有关更多信息,请参阅Conan 稳定性部分。

conanfile.py recipe 使用 download()get() 助手从其他服务器下载一些源文件时,例如:

def source(self):
    # Immutable source .zip
    download(self, f"https://server/that/need/credentials/files/tarballname-{self.version}.zip", "downloaded.zip")
    # Also the ``get()`` function, as it internally calls ``download()``

对于互联网上的开源第三方库,这些下载通常是匿名的,但也可能存在以下情况:私有组织中的某些专有代码或供应商提供的代码需要某种身份验证。

为此,可以在 Conan 缓存中提供 source_credentials.json 文件。此文件具有以下格式,其中每个 credentials 条目都应具有一个 url,用于定义应与 recipe URL 匹配的 URL。如果 recipe URL 以 credentials 文件中给定的 URL 开头,则将注入 credentials。如果该文件为多个 URL 提供了多个 credentials,则将按顺序评估它们,直到找到第一个匹配项。如果未找到匹配项,则不会注入任何 credentials。也可以使用自定义的 auth 插件 直接从您自己的 secrets 管理器中检索 credentials。

必须注意,source_credentials 仅适用于使用 tools.files download()get() 助手下载的文件,但在其他情况下不会使用它。要为 Conan repo 提供 credentials,应使用 credentials.json 文件,请参阅 credentials.json

{
    "credentials": [
        {
            "url": "https://server/that/need/credentials",
            "token": "mytoken"
        }
    ]
}

使用 token 字段将添加一个 Authorization = Bearer {token} 标头。这将是首选的身份验证方式,因为它通常比使用用户名/密码更安全。

如果由于某种原因需要使用用户名/密码进行 HTTP-Basic 身份验证,则可以使用 userpassword 字段提供。

{
    "credentials": [
        {
            "url": "https://server/that/need/credentials",
            "user": "myuser",
            "password": "mypassword"
        }
    ]
}

作为一般规则,强烈建议不要在文件中硬编码密码等 secrets。为了避免这种情况,source_credentials.json 文件始终呈现为 jinja 模板,因此它可以执行诸如获取环境变量 os.getenv() 之类的操作,从而允许在系统或 CI 级别配置 secrets。

{% set mytk = os.getenv('mytoken') %}
{
    "credentials": [
        {
            "url": "https://server/that/need/credentials",
            "token": "{{mytk}}"
        }
    ]
}

注意

最佳实践

  • 避免在 conanfile.py recipe 中使用编码 token 或用户名/密码身份验证的 URL。这些 URL 很容易泄露到日志中,并且在 credentials 更改的情况下可能更难修复(这也适用于 Git 仓库 URL 和克隆,最好使用其他 Git 身份验证机制,如 ssh 密钥)。

另请参阅