git配置credential helper记住密码【教程】

Git默认不记HTTPS密码，推荐用credential.helper cache内存缓存（默认15分钟），安全且免明文；store会明文存密码至.git-credentials，慎用；更优方案是切换SSH协议，一劳永逸。

每次git push都要重新输入用户名和密码，这事儿是不是挺烦的？其实，这并非Git的设计缺陷，而是它出于安全考虑，默认没有为HTTPS协议记住你的凭证。说白了，就是你还没告诉它该怎么“记性好一点”。当然，最直接的办法是执行git config --global credential.helper store，一劳永逸。但先别急，这个方案背后有个大坑：它会把你的密码用明文形式存到本地文件里。对于日常开发，这可不是个好主意。

credential.helper cache：内存缓存，安全又够用

对于绝大多数本地开发场景，内存缓存方案才是首选。它的原理很巧妙：将凭证临时保存在系统内存中，既方便了短期内的重复操作，又能在超时或系统重启后自动清除，避免了密码明文落盘的风险。

• 启用默认15分钟缓存：只需一条命令：git config --global credential.helper cache。
• 自定义缓存时长：如果你需要更长的会话时间，可以设置超时参数。例如，设为1小时：git config --global credential.helper 'cache --timeout=3600'；设为全天开发的8小时：git config --global credential.helper 'cache --timeout=28800'。
• 平台注意点：在Windows系统上，cache模式需要配合Git for Windows自带的git-credential-manager才能稳定工作。另外，在一些较旧的Git版本中，纯cache指令可能会失效，这点需要留意。

credential.helper store：明文落地，慎用

如果说cache是把钥匙放在口袋里，那store就相当于把钥匙直接插在了门锁上。它会将你的用户名和密码以纯文本格式写入~/.git-credentials（macOS/Linux）或%USERPROFILE%\.git-credentials（Windows）文件中。之后所有操作都直接读取这个文件，虽然方便，但安全性堪忧。

• 启用命令：git config --global credential.helper store。
• 首次触发：执行命令后，你需要在第一次git push时输入账号密码，此后凭证文件便会自动生成。
• 文件内容示例：文件里的内容大概是这样的：https://tanpeng%40163.com:123456@git.thextrader.cn（注意，邮箱地址中的@符号会被URL编码为%40）。
• 重要警告：切勿在公共电脑、持续集成（CI）服务器或公司明令禁止明文存储密码的环境中使用此方案。

为什么 git config --global user.password 不起作用

很多开发者都踩过这个坑：尝试用git config --global user.password “xxx”来设置密码，结果发现完全无效。原因很简单：Git的认证流程根本不读取这个配置项。user.name和user.email仅仅用于标识提交（commit）的作者信息，与远程仓库的登录认证是两套完全独立的系统。

• user.name是你在代码提交历史中显示的名字，并非登录用户名。
• HTTPS协议下的登录用户名，通常是你的邮箱地址（如name@company.com），也可能是Git服务商配置的短用户名。
• 因此，强行设置的user.password只是一个被Git完全忽略的自定义配置，没有任何实际作用。

更推荐的长期方案：换SSH，一劳永逸

说到底，只要使用“HTTPS+密码”的模式，就永远绕不开“凭证如何存储”这个安全问题。而切换到SSH协议，则能从根源上改变游戏规则。它将认证工作交给了操作系统的SSH袋里（agent），Git本身不再接触和存储你的密码，整个过程更加清晰和安全。

• 生成SSH密钥对：运行ssh-keygen -t ed25519 -C “your@email.com”（直接回车使用默认路径即可）。
• 启动袋里并加载密钥：执行eval “$(ssh-agent -s)” && ssh-add ~/.ssh/id_ed25519。
• 配置公钥：将~/.ssh/id_ed25519.pub文件中的全部内容，复制粘贴到你的Git服务平台（如GitHub、GitLab或公司内Git服务）的SSH Keys设置页面。
• 切换远程仓库地址：将项目远程地址从HTTPS格式改为SSH格式，命令如：git remote set-url origin git@git.thextrader.cn:team/project.git。
• 完成以上步骤后，后续的所有Git操作都将不再提示输入密码（除非你为密钥设置了密码短语，且尚未被袋里缓存）。

最后，还有一个容易被忽略的细节：不同平台和Git版本对凭证助手的实现差异很大。例如，新版macOS上的Git可能默认就使用了osxkeychain；而Linux命令行环境往往需要手动配置cache或安装libsecret等依赖。对于Windows用户，如果使用Git Bash，更推荐利用Git for Windows自带的git-credential-manager，它能无缝对接Windows凭据管理器，其安全性远胜于裸用的store模式。搞清楚这些环境差异，才能选择最适合自己的那把“钥匙”。