Maven使用GPG对文件进行签名加密 图片看不了?点击切换HTTP 返回上层
每次手动对 Maven 构件进行签名,并将签名部署到 Maven 仓库中去是一种很无聊且没有技术含量的工作。为了从这种重复性的工作中解放出来,Maven 提供了一种叫 GPG 的插件来解决这个问题。用户只需在 pom.xml 中做对应的配置,例如:
当然,在实际项目过程中,对日常的 SNAPSHOT 构件进行签名就没有太大意义了,而且耗费资源。那有什么办法可以避免这点,只在版本正式发布的时候签名呢?
当然是可以的,在 pom 中有个 release-profile。该 profile 只有在 Maven 属性 performRelease 为 true 的时候才会被激活,而 release:perform 执行时,会把该属性的值设置成 true,这个时机刚好是项目进行版本发布的时机。
所以,用户可以在 settings.xml 或 pom 中创建如下代码,实现只是在发布正式版本的时候,对正式版本进行签名。
<project> ... <plugins> ... <plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-gpg-plugin</artifactId> <version>1.6</version> <executions> <execution> <id>signArtifact</id> <phase>verify</phase> <goals> <goal>sign</goal> </goals> </execution> </executions> </plugin> </plugins> </project>配置好后,使用 Mvn 命令就可以完成签名并且发布了。当然有个前提,那就是 GPG 需要安装好,也就是说,能在命令行中执行 GPG 命令。
当然,在实际项目过程中,对日常的 SNAPSHOT 构件进行签名就没有太大意义了,而且耗费资源。那有什么办法可以避免这点,只在版本正式发布的时候签名呢?
当然是可以的,在 pom 中有个 release-profile。该 profile 只有在 Maven 属性 performRelease 为 true 的时候才会被激活,而 release:perform 执行时,会把该属性的值设置成 true,这个时机刚好是项目进行版本发布的时机。
所以,用户可以在 settings.xml 或 pom 中创建如下代码,实现只是在发布正式版本的时候,对正式版本进行签名。
<profiles> <profile> <id> release-sign-artifacts</id> <activation> <property> <name>performRelease</name> <value>true</value> </property> </activation> <build> <plugins> <plugin> <groupId>org.apache.maven,plugins </groupId> <artifactId>maven-gpg-plugin</artifactId> <version>1.6</version> <executions> <execution> <id>signArtifact</id> <phase>verify</phase> <goals> <goal>sign</goal> </goals> </execution> </executions> </plugin> </plugins> </build> </profile> </profiles>需要注意的是,因为 Maven Release Plugin 有个漏洞,release:perform 执行过程中签名可能会导致进程永久挂起。为了避免这种情况发生,可以在 Maven Release Plugin 中提供一个 mavenExecutorId 配置,整体样例配置代码如下:
<build> <plugins> <plugin> <groupId> org.apache.maven.plugins</groupId> <artifactId> maven-release-plugin </artifactId> <version>2.5.3</version> <configuration> <tagBase>https://Noble-PC:8443/svn/MvnDemoSSM/tags/svnDemo </tagBase> <branchBase>https://Noble-PC:8443/svn/MvnDemoSSM/ branches/svnDemo </branchBase> <username>noble</username> <password>noble</password> <mavenExecutorId> forked-path</mavenExecutorId> </configuration> </plugin> <plugin> <groupId> org.apache.maven.plugins</groupId> <artifactId>maven-gpg-plugin</artifactId> <version>1.6</version> <executions> <execution> <id> signArtifact</id> <phase>verify</phase> <goals> <goal>sign</goal> </goals> </execution> </executions> </plugin> </plugins> </build>到这里自动签名的配置就完成了。当 Maven 执行 release:perform 发布项目版本的时候,maven-gpg-plugin 就会自动对构件进行签名。在执行的过程中,会提示输入私钥的密码。