从 Kubernetes 机密中获取凭据时的 go-git 基本身份验证问题

Posted

技术标签:

【中文标题】从 Kubernetes 机密中获取凭据时的 go-git 基本身份验证问题【英文标题】:go-git basic authentication issues when getting credentials from Kubernetes secrets 【发布时间】:2019-08-09 14:34:10 【问题描述】:

使用 go-git 克隆 github 存储库。尝试使用类似这样的方式使用个人令牌进行身份验证

func (g *Git) pullOptions() *gogit.PullOptions 
branch := fmt.Sprintf("refs/heads/%s", g.BranchName)
// Return options with token auth if enabled
if g.GitToken != "" 
    log.Debug("Prepare pull option using gittoken")
    return &gogit.PullOptions
        ReferenceName: plumbing.ReferenceName(branch),
        Auth: &githttp.BasicAuth
            Username: g.GitUser,
            Password: g.GitToken,
        ,
    

使用spew

还可以看到拉取选项,它们似乎是有效的

(*git.PullOptions)(0xc42008de60)(
RemoteName: (string) (len=6) "origin",
ReferenceName: (plumbing.ReferenceName) (len=17) refs/heads/master,
SingleBranch: (bool) false,
Depth: (int) 0,
Auth: (*http.BasicAuth)(0xc4203be300)(http-basic-auth - mygitid
:*******),
RecurseSubmodules: (git.SubmoduleRescursivity) 0,
Progress: (sideband.Progress) <nil>,
Force: (bool) false
)

但不断收到此错误:

time="2019-03-19T05:30:59Z" level=debug msg="Prepare pull option using 
gittoken"
time="2019-03-19T05:30:59Z" level=error msg="Git clone error: 
authentication required"

如果我切换到 SSHKey 身份验证,那么这工作正常。有什么指点吗?

EDIT-1:

从环境变量中提取基本身份验证凭据时,这绝对是个问题。例如,此代码不起作用:

package main

import (
    "fmt"
    "os"
    "time"

    log "github.com/Sirupsen/logrus"
    gogit "gopkg.in/src-d/go-git.v4"
    gitconfig "gopkg.in/src-d/go-git.v4/config"
    "gopkg.in/src-d/go-git.v4/plumbing"
    "gopkg.in/src-d/go-git.v4/plumbing/transport/http"
)

func main() 
    var repository *gogit.Repository
    var err error

    // @TODO: Why not use clone?
    if _, err = os.Stat("/tmp/repo"); os.IsNotExist(err) 
        repository, err = gogit.PlainInit("/tmp/repo", false)
        if err != nil 
            log.Errorf("could not init local repository %s: %s", "/tmp", err.Error())
        
     else 
        repository, err = gogit.PlainOpen("/tmp/repo")
    

    //fmt.Println((repository))
    if _, err = repository.Remote("origin"); err == gogit.ErrRemoteNotFound 
        _, err = repository.CreateRemote(&gitconfig.RemoteConfig
            Name: "origin",
            URLs: []string"https://xxxxx.git",
        )
        if err != nil 
            log.Errorf("could not attach to origin %s: %s", "bb", err.Error())
        
    

    fmt.Println("Done with mapping")


    r, err := gogit.PlainOpen("/tmp/repo")
    if err != nil 
        log.Fatal(err)
    
    //fmt.Println(r)
    branch := fmt.Sprintf("refs/heads/%s", "master")

    fmt.Println("Setup wotktree")
    w, err := r.Worktree()
    if err != nil 
        log.Fatal(err)
    

    fmt.Println("pulling")
    fmt.Println(os.Getenv("GIT_USER"))
    fmt.Println(os.Getenv("GIT_TOKEN"))
    if err := w.Pull(&gogit.PullOptions
        ReferenceName: plumbing.ReferenceName(branch),
        Auth: &http.BasicAuth
            // Username: "xxxxxx",
            // Password: "xxxxxxxxxx",
            Username: os.Getenv("GIT_USER"),
            Password: os.Getenv("GIT_TOKEN"),
        ,
    ); err != nil 
        log.Fatal(err)
    
    fmt.Println("done")
    time.Sleep(120 * time.Second)

但是,如果我按如下方式对凭据进行硬编码,则它可以工作。

    Auth: &http.BasicAuth
        Username: "xxxxxx",
        Password: "xxxxxxxxxx",
        // Username: os.Getenv("GIT_USER"),
        // Password: os.Getenv("GIT_TOKEN"),
    ,

所以现在的问题是,我们如何安全地将凭据传递给 go-git 以进行基本身份验证?我们是否为 git 雕刻了一个凭证助手,但是 go-git 不依赖本机客户端的点可能会被打败。

【问题讨论】:

你能分享一下使用拉取选项的代码吗?当我尝试站在我这边时,它工作正常。 【参考方案1】:

为遇到麻烦的人提供一个有效的例子:

package main

import (
    "fmt"
    "log"

    "gopkg.in/src-d/go-git.v4"
    "gopkg.in/src-d/go-git.v4/plumbing"
    "gopkg.in/src-d/go-git.v4/plumbing/transport/http"
)

func main() 
    r, err := git.PlainOpen("<REPOSITORY_PATH>")
    if err != nil 
        log.Fatal(err)
    

    branch := fmt.Sprintf("refs/heads/%s", "master")

    w, err := r.Worktree()
    if err != nil 
        log.Fatal(err)
    

    if err := w.Pull(&git.PullOptions
        ReferenceName: plumbing.ReferenceName(branch),
        Auth: &http.BasicAuth
            Username: "<GITHUB_USERNAME>",
            Password: "<GITHUB_API_KEY>",
        ,
    ); err != nil 
        log.Fatal(err)
    

【讨论】:

谢谢@antham。这帮助我确定了问题,但我仍然不确定发生了什么。我使用 kubernetes 部署此服务,如果我将凭据指定为机密,则会收到错误消息。但是,如果为了测试我硬编码信用,那么它工作正常。 您是否尝试转储凭据以查看您拥有的内容? 是的,我可以看到应有的凭据。我现在将尝试您的代码,看看它是否具有相同的行为 更新问题。除非我犯了一些非常愚蠢的错误,否则我们似乎遇到了一些问题。 不知道这个:github.com/kubernetes/kubernetes/issues/23404。 Secret 有一条新线路,导致此线路失败。神圣的****

以上是关于从 Kubernetes 机密中获取凭据时的 go-git 基本身份验证问题的主要内容,如果未能解决你的问题,请参考以下文章

使用 go get 从 WSL 2 上的私有 github 存储库中获取依赖项

kubernetes管理机密信息

无法将存储的 Vault 机密检索到 Kubernetes 中的 Springboot 应用程序

在 application.properties spring boot 应用程序中读取作为卷安装的 kubernetes 机密

如何使用 golang kubernetes API 创建配置映射和机密

在 Kubernetes 上部署 Secret 加密系统 Vault