-
1. Gitを始めるにあたって
- 1.1 バージョン管理について
- 1.2 Gitの歴史
- 1.3 Gitとは何か?
- 1.4 コマンドライン
- 1.5 Gitのインストール
- 1.6 Gitの初回セットアップ
- 1.7 ヘルプの利用
- 1.8 まとめ
-
2. Gitの基本
- 2.1 Gitリポジトリの取得
- 2.2 リポジトリへの変更の記録
- 2.3 コミット履歴の表示
- 2.4 元に戻す操作
- 2.5 リモートでの作業
- 2.6 タグ付け
- 2.7 Gitエイリアス
- 2.8 まとめ
-
3. Gitのブランチ機能
- 3.1 ブランチの基本
- 3.2 基本的なブランチとマージ
- 3.3 ブランチ管理
- 3.4 ブランチワークフロー
- 3.5 リモートブランチ
- 3.6 リベース
- 3.7 まとめ
-
4. サーバー上のGit
- 4.1 プロトコル
- 4.2 サーバーにGitをセットアップする
- 4.3 SSH公開鍵の生成
- 4.4 サーバーのセットアップ
- 4.5 Gitデーモン
- 4.6 スマートHTTP
- 4.7 GitWeb
- 4.8 GitLab
- 4.9 サードパーティのホスティングオプション
- 4.10 まとめ
-
5. 分散Git
- 5.1 分散ワークフロー
- 5.2 プロジェクトへの貢献
- 5.3 プロジェクトの管理
- 5.4 まとめ
-
6. GitHub
- 6.1 アカウントのセットアップと設定
- 6.2 プロジェクトへの貢献
- 6.3 プロジェクトの管理
- 6.4 組織の管理
- 6.5 GitHubのスクリプト
- 6.6 まとめ
-
7. Gitツール
- 7.1 リビジョンの選択
- 7.2 インタラクティブステージング
- 7.3 スタッシュとクリーン
- 7.4 作業に署名する
- 7.5 検索
- 7.6 履歴の書き換え
- 7.7 Resetの解明
- 7.8 高度なマージ
- 7.9 Rerere
- 7.10 Gitを使ったデバッグ
- 7.11 サブモジュール
- 7.12 バンドル
- 7.13 置換
- 7.14 認証情報の保存
- 7.15 まとめ
-
8. Gitのカスタマイズ
- 8.1 Gitの設定
- 8.2 Git属性
- 8.3 Gitフック
- 8.4 Gitによるポリシー適用例
- 8.5 まとめ
-
9. Gitと他のシステム
- 9.1 クライアントとしてのGit
- 9.2 Gitへの移行
- 9.3 まとめ
-
10. Gitの内側
- 10.1 PlumbingとPorcelain
- 10.2 Gitオブジェクト
- 10.3 Gitリファレンス
- 10.4 Packfile
- 10.5 Refspec
- 10.6 転送プロトコル
- 10.7 メンテナンスとデータ復旧
- 10.8 環境変数
- 10.9 まとめ
-
A1. 付録A: 他の環境でのGit
- A1.1 グラフィカルインターフェース
- A1.2 Visual StudioでのGit
- A1.3 Visual Studio CodeでのGit
- A1.4 IntelliJ / PyCharm / WebStorm / PhpStorm / RubyMineでのGit
- A1.5 Sublime TextでのGit
- A1.6 BashでのGit
- A1.7 ZshでのGit
- A1.8 PowerShellでのGit
- A1.9 まとめ
-
A2. 付録B: アプリケーションへのGitの組み込み
- A2.1 コマンドラインGit
- A2.2 Libgit2
- A2.3 JGit
- A2.4 go-git
- A2.5 Dulwich
-
A3. 付録C: Gitコマンド
- A3.1 セットアップと設定
- A3.2 プロジェクトの取得と作成
- A3.3 基本的なスナップショット
- A3.4 ブランチとマージ
- A3.5 プロジェクトの共有と更新
- A3.6 検査と比較
- A3.7 デバッグ
- A3.8 パッチ適用
- A3.9 メール
- A3.10 外部システム
- A3.11 管理
- A3.12 Plumbingコマンド
7.14 Gitツール - 認証情報の保存
認証情報の保存
リモート接続にSSHトランスポートを使用する場合、パスフレーズのない鍵を持つことが可能で、これによりユーザー名とパスワードを入力せずに安全にデータを転送できます。しかし、HTTPプロトコルではこれは不可能で、すべての接続でユーザー名とパスワードが必要です。これは2要素認証システムではさらに困難になり、パスワードとして使用するトークンはランダムに生成され、発音不可能なものです。
幸いにも、Gitにはこれを助けることができる認証情報システムがあります。Gitにはいくつかのオプションがデフォルトで提供されています
-
デフォルトでは全くキャッシュされません。すべての接続でユーザー名とパスワードの入力を求められます。
-
「cache」モードは、一定期間、認証情報をメモリに保持します。パスワードはディスクに保存されることはなく、15分後にキャッシュから削除されます。
-
「store」モードは、認証情報をディスク上のプレーンテキストファイルに保存し、期限切れになることはありません。これは、Gitホストのパスワードを変更しない限り、再び認証情報を入力する必要がないことを意味します。このアプローチの欠点は、パスワードがホームディレクトリのプレーンファイルにクリアテキストで保存されることです。
-
macOSを使用している場合、Gitには「osxkeychain」モードが付属しており、システムアカウントに紐付けられたセキュアなキーチェーンに認証情報をキャッシュします。このメソッドは認証情報をディスクに保存し、期限切れになることはありませんが、HTTPS証明書やSafariの自動入力と同じシステムで暗号化されています。
-
Windowsを使用している場合、Git for Windowsのインストール時にGit Credential Manager機能を有効にするか、最新のGCMをスタンドアロンサービスとして個別にインストールできます。これは上記で説明した「osxkeychain」ヘルパーに似ていますが、Windows Credential Storeを使用して機密情報を制御します。WSL1またはWSL2にも認証情報を提供できます。詳細についてはGCMインストール手順を参照してください。
Gitの構成値を設定することで、これらのメソッドのいずれかを選択できます
$ git config --global credential.helper cacheこれらのヘルパーの中にはオプションを持つものがあります。「store」ヘルパーは--file <path>引数を受け取り、プレーンテキストファイルの保存場所をカスタマイズできます(デフォルトは~/.git-credentials)。「cache」ヘルパーは--timeout <seconds>オプションを受け入れ、デーモンの実行時間を変更します(デフォルトは「900」、つまり15分)。以下は、カスタムファイル名で「store」ヘルパーを設定する方法の例です
$ git config --global credential.helper 'store --file ~/.my-credentials'Gitでは、複数のヘルパーを設定することもできます。特定のホストの認証情報を検索する際、Gitはそれらを順にクエリし、最初の回答が提供された後に停止します。認証情報を保存する際、Gitはユーザー名とパスワードをリスト内のすべてのヘルパーに送信し、各ヘルパーはそれらをどうするかを選択できます。以下は、USBメモリに認証情報ファイルがあり、ドライブが接続されていない場合にインメモリキャッシュを使用して入力の手間を省きたい場合の.gitconfigの例です
[credential]
helper = store --file /mnt/thumbdrive/.git-credentials
helper = cache --timeout 30000内部の仕組み
これはすべてどのように機能するのでしょうか?Gitの認証情報ヘルパーシステムのルートコマンドはgit credentialで、引数としてコマンドを受け取り、さらにstdinを通じて入力を受け取ります。
例を挙げると理解しやすいかもしれません。認証情報ヘルパーが設定されており、ヘルパーがmygithostの認証情報を保存しているとします。以下は、「fill」コマンドを使用するセッションです。これはGitがホストの認証情報を検索しようとするときに呼び出されます
$ git credential fill (1)
protocol=https (2)
host=mygithost
(3)
protocol=https (4)
host=mygithost
username=bob
password=s3cre7
$ git credential fill (5)
protocol=https
host=unknownhost
Username for 'https://unknownhost': bob
Password for 'https://bob@unknownhost':
protocol=https
host=unknownhost
username=bob
password=s3cre7-
これは対話を開始するコマンドラインです。
-
git-credentialはstdinからの入力を待機しています。私たちは知っていること、つまりプロトコルとホスト名を提供します。
-
空行は入力が完了したことを示し、認証情報システムは知っていることを回答するはずです。
-
その後、git-credentialが引き継ぎ、見つけた情報をstdoutに出力します。
-
認証情報が見つからない場合、Gitはユーザーにユーザー名とパスワードを尋ね、呼び出し元のstdoutにそれらを返します(ここでは同じコンソールにアタッチされます)。
認証情報システムは実際にはGit自体とは別のプログラムを呼び出しています。どのプログラムを、どのように呼び出すかはcredential.helperの構成値によって異なります。いくつかの形式があります
| 設定値 | 動作 |
|---|---|
|
|
|
|
|
|
|
|
したがって、上記で説明したヘルパーは実際にはgit-credential-cache、git-credential-storeなどという名前で、コマンドライン引数を受け取るように設定できます。これの一般的な形式は「git-credential-foo [args]
-
getはユーザー名/パスワードのペアを要求します。 -
storeはこのヘルパーのメモリに認証情報のセットを保存する要求です。 -
eraseはこのヘルパーのメモリから指定されたプロパティの認証情報を削除します。
storeとeraseアクションの場合、応答は不要です(Gitはいずれにしても無視します)。しかし、getアクションの場合、Gitはヘルパーが何を言うかに非常に興味があります。ヘルパーが有用な情報を何も知らない場合、出力なしで単に終了することができますが、知っている場合は、保存されている情報で提供された情報を補完する必要があります。出力は一連の代入文のように扱われます。提供されたものはすべて、Gitがすでに知っているものを置き換えます。
以下は上記の例と同じですが、git-credentialをスキップして直接git-credential-storeに進んでいます
$ git credential-store --file ~/git.store store (1)
protocol=https
host=mygithost
username=bob
password=s3cre7
$ git credential-store --file ~/git.store get (2)
protocol=https
host=mygithost
username=bob (3)
password=s3cre7-
ここでは、
git-credential-storeにいくつかの認証情報を保存するよう指示します。https://mygithostにアクセスする際に、ユーザー名「bob」とパスワード「s3cre7」が使用されます。 -
次に、それらの認証情報を取得します。既に知っている接続の一部(
https://mygithost)と空行を提供します。 -
git-credential-storeは、上記で保存したユーザー名とパスワードで応答します。
~/git.storeファイルは以下のようになります
https://bob:s3cre7@mygithostこれは一連の行で、それぞれに資格情報が装飾されたURLが含まれています。osxkeychainとwincredヘルパーは、そのバッキングストアのネイティブフォーマットを使用しますが、cacheは独自のインメモリフォーマットを使用します(他のプロセスは読み取れません)。
カスタム認証情報キャッシュ
git-credential-storeとそれに類するものがGitとは別のプログラムであることを考えると、どんなプログラムでもGitの認証情報ヘルパーになりうると認識するのはそれほど飛躍ではありません。Gitが提供するヘルパーは多くの一般的なユースケースをカバーしていますが、すべてではありません。例えば、チームで共有されている認証情報があり、おそらくデプロイメント用であるとします。これらは共有ディレクトリに保存されていますが、頻繁に変更されるため、自分の認証情報ストアにコピーしたくありません。既存のヘルパーのどれもこのケースをカバーしていません。独自のものを書くのに何が必要か見てみましょう。このプログラムはいくつかの主要な機能を備えている必要があります
-
注意すべきアクションは
getだけです。storeとeraseは書き込み操作なので、それらを受け取ったら単にきれいに終了します。 -
共有認証情報ファイルのファイル形式は、
git-credential-storeで使用されるものと同じです。 -
そのファイルの場所はかなり標準的ですが、念のためユーザーがカスタムパスを渡せるようにすべきです。
もう一度、この拡張機能をRubyで書きますが、Gitが完成品を実行できる限り、どんな言語でも機能します。以下は新しい認証情報ヘルパーの完全なソースコードです
#!/usr/bin/env ruby
require 'optparse'
path = File.expand_path '~/.git-credentials' # (1)
OptionParser.new do |opts|
opts.banner = 'USAGE: git-credential-read-only [options] <action>'
opts.on('-f', '--file PATH', 'Specify path for backing store') do |argpath|
path = File.expand_path argpath
end
end.parse!
exit(0) unless ARGV[0].downcase == 'get' # (2)
exit(0) unless File.exist? path
known = {} # (3)
while line = STDIN.gets
break if line.strip == ''
k,v = line.strip.split '=', 2
known[k] = v
end
File.readlines(path).each do |fileline| # (4)
prot,user,pass,host = fileline.scan(/^(.*?):\/\/(.*?):(.*?)@(.*)$/).first
if prot == known['protocol'] and host == known['host'] and user == known['username'] then
puts "protocol=#{prot}"
puts "host=#{host}"
puts "username=#{user}"
puts "password=#{pass}"
exit(0)
end
end-
ここではコマンドラインオプションを解析し、ユーザーが入力ファイルを指定できるようにしています。デフォルトは
~/.git-credentialsです。 -
このプログラムは、アクションが
getであり、かつバッキングストアファイルが存在する場合にのみ応答します。 -
このループは、最初の空行に達するまでstdinから読み取ります。入力は後で参照するために
knownハッシュに格納されます。 -
このループはストレージファイルの内容を読み込み、一致するものを探します。
knownのプロトコル、ホスト、ユーザー名がこの行と一致する場合、プログラムは結果をstdoutに出力して終了します。
ヘルパーをgit-credential-read-onlyとして保存し、PATH内のどこかに置き、実行可能としてマークします。以下は対話型セッションの様子です
$ git credential-read-only --file=/mnt/shared/creds get
protocol=https
host=mygithost
username=bob
protocol=https
host=mygithost
username=bob
password=s3cre7名前が「git-」で始まるので、設定値にシンプルな構文を使用できます
$ git config --global credential.helper 'read-only --file /mnt/shared/creds'ご覧のとおり、このシステムの拡張は非常に簡単で、あなたとあなたのチームのいくつかの一般的な問題を解決できます。
