gpg加密发布jar包到maven中央仓库详细过程以及踩的坑

最新推荐文章于 2024-06-20 16:44:24 发布
最新推荐文章于 2024-06-20 16:44:24 发布
阅读量3.3k 收藏 9
点赞数 4
分类专栏: maven 文章标签: maven 中央仓库 gpg 域名认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38096157/article/details/88951278
版权

最近为了提升逼格,当然主要是为了便于之后使用,我尝试将自己写的jar包发布到maven中央仓库,历时一个月的摸爬滚打,最终成功发布!!!
现在我把发布的详细过程以及踩到的坑分享一下,与君共勉!

1.注册sonatype并提交issue工单

maven中央仓库是由sonatype提供的免费维护,要上传jar到maven中央仓库就必须注册一个sonatype账号
注册网址:https://issues.sonatype.org/secure/Signup!default.jspa
注册完成后,进入 https://issues.sonatype.org 创建一个issue,如下
在这里插入图片描述
点击create,创建工单,按实际情况填写工单
在这里插入图片描述
这里主要是Group Id的填写,使用com.github.xxx是最快的,若使用私有域名会需要认证。
创建完成后,点击【Issues】选择刚刚新建的工单,可以看到状态为Waiting for Response或Open,此时为待审核状态。

2.认证域名

为了高逼格,我没有满足于使用com.github.xxx作为Group Id,而是在腾讯云买了个qinpiyi.com的域名(domain)。提交issue工单后几个小时后收到了一封邮件,内容如下
在这里插入图片描述
我选择了第一种方式(添加一条TXT记录)来认证我的域名,具体步骤如下:
1.打开腾讯云控制台,进入域名服务—>我的域名—>域名列表,找到要认证的域名,点击“解析”开始解析域名:
在这里插入图片描述
2.域名解析列表—>记录管理—>添加记录
在这里插入图片描述
3.主机记录选择 【*】 (泛解析),记录类型选择【TXT】,线路类型选择【境外】,记录值输入邮件中提到的JIRA ticket,然后点击保存,这样便完成了一条TXT记录的添加。
在这里插入图片描述
4.最后一步,我分别用邮件和评论工单(Comment)的方式做了回复,内容如下
I do own the domain qinpiyi.com. I have added a TXT record(OSSRH-46932) to my DNS .
最多几个小时之后,会收到审核通过的邮件,工单状态也变为了【RESOLVED】,即为通过了域名的认证!
在这里插入图片描述

坑一:我当时添加了TXT记录之后,由于一直没有用Comment或邮件的方式告知对方,导致过了好多天都没能收到认证通过的通知!

3. GPG生成密钥

  1. 下载安装GPG环境
    下载地址:https://www.gpg4win.org/
  2. 检查是否安装成功
    打开cmd命令行窗口,输入
    gpg --version
    执行后成功输出gpg版本即为安装成功
  3. 生成密钥
    命令行执行
    gpg --gen-key
    根据提示输入用户名和邮箱以及Passphase,其余信息使用默认即可,Passphase即为密码,需记住,后续上传jar包时要用到
  4. 查看公钥
    执行
    gpg --list-keys
    输出如下信息
    C:\Users\Administrator>gpg --list-keys
C:/Users/Administrator/AppData/Roaming/gnupg/pubring.kbx
--------------------------------------------------------
pub   rsa2048 2019-03-25 [SC]
      23EE7FF80A076D26671731FA69D245B71877DC6A
uid           [ultimate] qinpiyi <qinpiyi@126.com>
sub   rsa2048 2019-03-25 [E]
    其中的十六进制串23EE7FF80A076D26671731FA69D245B71877DC6A即为生成的公钥id
  5. 发布公钥
    执行
    gpg --keyserver hkp://pool.sks-keyservers.net --send-keys 23EE7FF80A076D26671731FA69D245B71877DC6A
    将公钥发布到PGP密钥服务器后,便可以使用本地的私钥来对上传构件进行数字签名,而下载该构件的用户可通过上传的公钥来验证签名,也就是说,大家可以验证这个构件是否由本人上传的,因为有可能该构件被坏人给篡改了。
    6.验证是否发布成功
    执行
    gpg --keyserver hkp://pool.sks-keyservers.net --recv-keys 23EE7FF80A076D26671731FA69D245B71877DC6A
    成功输出gpg密钥信息即为发布成功

4. 制作jar包

这里我选择使用maven来构建jar包

  1. 在maven安装目录的config文件夹下打开setting.xml,如下在servers标签中添加内容

    <servers>
	<server>
		<id>sonatype-qinpiyi</id>
		<username>你的sonatype用户名</username>
		<password>你的sonatype密码</password>
	</server>
  </servers>

    这里id将在pom中使用,可随意命名。

  2. 在Maven项目的pom.xml中添加licenses、developers、scm、profiles、plugins、distributionManagement等内容,如下是我的pom,大家可以参考

    <?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>com.qinpiyi.common</groupId>
    <artifactId>common-response</artifactId>
    <version>0.0.1</version>
    <url>https://github.com/qinpiyi/common</url>

    <name>common-response</name>
    <description>CommonResponse and CommonResponseUtils</description>

    <properties>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    </properties>

    <licenses>
        <license>
            <name>The Apache Software License, Version 2.0</name>
            <url>http://www.apache.org/licenses/LICENSE-2.0.txt</url>
        </license>
    </licenses>

    <!-- 根据自己实际情况填写 -->
    <developers>
        <developer>
            <name>qinpiyi</name>
            <email>qinpiyi@126.com</email>
        </developer>
    </developers>

    <!-- 与申请issue时填写的SCM保持一致 -->
    <scm>
        <connection>https://github.com/qinpiyi/common.git</connection>
        <developerConnection>https://github.com/qinpiyi/common.git</developerConnection>
        <url>https://github.com/qinpiyi/common</url>
    </scm>

    <profiles>
        <profile>
            <!-- 这个id就是打包时的 -P 参数 -->
            <id>release</id>
            <build>
                <plugins>
                    <!-- Source插件-->
                    <plugin>
                        <groupId>org.apache.maven.plugins</groupId>
                        <artifactId>maven-source-plugin</artifactId>
                        <version>2.2.1</version>
                        <executions>
                            <execution>
                                <phase>package</phase>
                                <goals>
                                    <goal>jar-no-fork</goal>
                                </goals>
                            </execution>
                        </executions>
                    </plugin>
                    <!-- Javadoc插件 -->
                    <plugin>
                        <groupId>org.apache.maven.plugins</groupId>
                        <artifactId>maven-javadoc-plugin</artifactId>
                        <version>2.9.1</version>
                        <executions>
                            <execution>
                                <phase>package</phase>
                                <goals>
                                    <goal>jar</goal>
                                </goals>
                                <!-- -Xdoclint:none 是为了避免生成apidoc的时候检查过于严格而报错-->
                                <configuration>
                                    <additionalparam>-Xdoclint:none</additionalparam>
                                </configuration>
                            </execution>
                        </executions>
                    </plugin>
                    <!-- GPG加密插件 -->
                    <plugin>
                        <groupId>org.apache.maven.plugins</groupId>
                        <artifactId>maven-gpg-plugin</artifactId>
                        <version>1.6</version>
                        <executions>
                            <execution>
                                <phase>verify</phase>
                                <goals>
                                    <goal>sign</goal>
                                </goals>
                            </execution>
                        </executions>
                    </plugin>
                </plugins>
            </build>

            <!-- snapshotRepository与repository的id应与setting.xml中添加的server的id一致 -->
            <distributionManagement>
                <snapshotRepository>
                    <id>sonatype-qinpiyi</id>
                    <url>https://oss.sonatype.org/content/repositories/snapshots/</url>
                </snapshotRepository>
                <repository>
                    <id>sonatype-qinpiyi</id>
                    <url>https://oss.sonatype.org/service/local/staging/deploy/maven2/</url>
                </repository>
            </distributionManagement>
        </profile>
    </profiles>
    
	<dependencies>
        <dependency>
            <groupId>log4j</groupId>
            <artifactId>log4j</artifactId>
            <version>1.2.17</version>
        </dependency>
        <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <version>4.12</version>
            <scope>test</scope>
        </dependency>
    </dependencies>
</project>

  3. 构建jar包并上传
    在项目根目录(即pom.xml所在目录 )下命令行执行maven指令
    mvn clean deploy -P release verify '-Dgpg.passphrase=自己的GPG密码'
    -P后的release 需和pom.xml文件中profile的id一致,上传过程中可能还会提示再次输入gpg的passphrase密码,上传速度与jar包大小和网速有关,最多几分钟即可上传成功

坑2:mvn指令执行报错“编码gbk的不可映射字符”,在pom.xml中添加了

<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding

成功解决

5. 发布jar包

进入 https://oss.sonatype.org 并使用最开始注册的sonatype账号登录,登录成功后点击左侧的Staging Repositories,在右侧列表中找到并勾选自己刚刚上传的内容,若当前状态为open则点击上方的Close按钮,关闭成功后刷新,再次找到该条记录,勾选并点击上方的Release按钮,则发布完成。
在这里插入图片描述

坑3:Close失败,刷新后点击下方的Activity可以看到报错信息为缺少jar对应的.asc签名文件
解决方法:手动上传缺少的签名文件,若签名文件全部缺失,可在maven项目根目录下命令行依次执行执行下面三条mvn指令,若部分缺失则按照如下的格式编辑对应的指令
mvn gpg:sign-and-deploy-file '-Durl=https://oss.sonatype.org/service/local/staging/deploy/maven2/' '-DrepositoryId=sonatype-qinpiyi' '-DpomFile=target/qpy-common-0.0.1.pom' '-Dfile=target/qpy-common-0.0.1.jar'
mvn gpg:sign-and-deploy-file '-Durl=https://oss.sonatype.org/service/local/staging/deploy/maven2/' '-DrepositoryId=sonatype-qinpiyi' '-DpomFile=target/qpy-common-0.0.1.pom' '-Dfile=target/qpy-common-0.0.1-sources.jar' '-Dclassifier=sources'
mvn gpg:sign-and-deploy-file '-Durl=https://oss.sonatype.org/service/local/staging/deploy/maven2/' '-DrepositoryId=sonatype-qinpiyi' '-DpomFile=target/qpy-common-0.0.1.pom' '-Dfile=target/qpy-common-0.0.1-javadoc.jar' '-Dclassifier=javadoc'

其中-DrepositoryId为setting.xml中server的id,target文件夹中若无.pom文件,可将根目录下pom.xml文件复制到target文件夹中并重命名为xxx.pom文件

Release完成后,约需要等待两三个小时,在 https://search.maven.orghttps://mvnrepository.com 便可以搜到自己发布的依赖了!!!!

参考文章:

怎样提交本地jar到Maven中央仓库(windows)
将 Smart 构件发布到 Maven 中央仓库
如何把自己的Jar包上传到 maven 官方仓库中,Maven上传图文讲解
Maven:Maven GPG Plugin。

佛系猿秦大昊
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
手把手教你如何将自己的项目发布Maven中央仓库
良月柒
05-21 1071
看到别人写的工具类,有些自己想用的方法没有,想着看能不能自己封装一个库,然后丢上去,说干就干。网上有很多的教程,但是都是老版本的,maven中央仓库2024年3月份有更新迭代,本教程是最新版。
maven使用_Maven使用GPG对文件进行签名加密
weixin_39874269的博客
12-01 633
每次手动对Maven构件进行签名,并将签名部署到 Maven 仓库中去是一种很无聊且没有技术含量的工作。为了从这种重复性的工作中解放出来,Maven 提供了一种叫 GPG 的插件来解决这个问题。用户只需在 pom.xml 中做对应的配置,例如:<project> ... <plugins> ... <plugin&...
发布包到maven公共仓库图文教程(2) --- gpg签名和pom.xml的配置等
之城的专栏
05-22 5068
在操作这篇文章之前你需要做一些账号注册和提交申请前置操作, 前置操作我已经写了另一篇博客, 请移步 链接在此。 这篇接着讲如何使用gpg和和配置发布信息。 因为内容有点多, 所以最重要的打包和发布环节在第三篇博客中讲解,敬请期待。 各位读者,能否给我这个小博主一个关注点赞,谢谢。 目录申请账号提交申请GPG签名使用下载安装 GPG生成秘钥项目的pom文件的配置基本信息licenses 证书信息scm软件配置管理插件配置开发者信息distributionManagement配置仓库信息build打包配置pro
如何发布jar包maven中央仓库(2024年6月最新版含如何对原Jira系统内数据进行迁移)
最新发布
爱旅行的攻城狮
06-20 998
如果不记得JIRA注册时使用的邮箱,则需要使用已经注册的新账号绑定的邮箱联系官方通过DNS方式验证身份后,官方会协助迁移通过DNS验证的域名。此处com.baidu就是之前JIRA系统申请GroupId时使用的域名,新系统只需要注册一次即可,不用每个GroupId单独申请。看到这个邮件后,我们就可以使用新账号登录新系统,然后看到对应的namespace官方已经帮我们。进入命名空间列表后,点击Add Namespace,然后输入自己的命名空间名称。如果你还记得JIRA注册时使用的邮箱,可以使用该邮箱联系。
加密解密jar包
01-27
包含对称加密、非对称加密所需要用到的核心jar包,一般jar包jdk里面有,这里列举需要自己下载的 参见博文: http://blog.csdn.net/qq_35255384/article/details/79179378
Maven 简单配置gpg
weixin_33734785的博客
10-06 449
1. 下载maven到指定目录,指定对应的gpg的执行命令所需要的属性。这里比如下载解压后的maven目录是: C:\maven-apache-3.3.2 ,那么配置文件目录是: C:\maven-apache-3.3.2\conf\settings.xml <profiles> <profile> &l...
Java实战:Spring Boot项目Jar包加密
oandy0的博客
02-26 3079
本文将详细介绍如何在Spring Boot项目中实现Jar包加密。我们将探讨Jar包加密的基本概念,以及如何使用Spring Boot的Jar工具和第三方库来实现Jar包加密和解密。
maven 发布中央仓库 gpg 证书
小单的博客专栏
05-12 606
背景 将开发的 maven 项目打包发布中央仓库之前,官方是要求代码必须进行 gpg 签名的,这是前置条件。 步骤 1、配置 maven 项目的 pom 插件 <plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-gpg-plugin</artifactId> <version>3.0.1&l
详解如何将JAR包发布Maven中央仓库
08-26
发布JAR包Maven中央仓库是一个必要的步骤,以便让全球的Java开发者能够方便地通过Maven构建系统引入你的库作为依赖。Maven中央仓库不直接支持上传,而是需要通过第三方仓库,如Sonatype OSSRH (Open Source ...
Java发布包到maven公共仓库完整教程
02-04
以下是一个详细的教程,教你如何将Java项目发布Maven中央仓库。 **一、注册账号和提交申请** 1. **注册账号**: 首先,你需要访问Sonatype的JIRA系统(https://issues.sonatype.org/secure/Dashboard.jspa)来...
Maven发布封装到中央仓库时候报错:no default secret key
08-25
这个错误意味着你的Gnu Privacy Guard (GPG) 密钥对中没有有效的私钥,导致Maven无法进行签名验证,这是Maven发布过程中的一个重要步骤,因为中央仓库要求所有上传的工件都必须被GPG签名,以确保工件的完整性和来源...
gpg最新版,maven延签
01-10
maven上传中央仓库延签工具,官网下载速度较慢,提供一波下载,分数便宜欢迎购买
maven-gpg-plugin-1.5.jar
02-25
java运行依赖jar包
简单实现jar加密
02-29
用VC编写的jar加密工具,同时可以把jar转为exe
maven-gpg-plugin-1.1.jar
03-11
maven-gpg-plugin-1.1.jar
Maven教程】(十二):版本管理 ——版本号定义约定及相关概念,自动化版本发布与创建分支,GPG签名 ~
Technology changes the world of life
12-11 2056
到目前为止,读者应该已经清楚了解了快照版和发布版的区别。现在再深入看一下 1.0、1.1、1.2.1、3.0-beta 这样的版本号后面又遵循了怎样的约定。了解了这样的约定之后,就可以正确地为自己的产品或者项目定义版本号,而你的用户也能了解到隐藏在版本号中的信息。这往往表示了该项目或产品的第一个重大版本的第三个次要版本的第四次增量版本的beta-2里程碑。很拗口?那一个个分开解释:“1”表示了该版本是第一个重大版本;“3” 表示这是基于重大版本的第三个次要版本;“4”表示该次要版本的第四个增量;
jar maven 中央仓库 GPG问题 deploy 400
qq_36206259的博客
09-13 314
jar上传maven中央仓库时报gpg.exe找不到、deploy 400等问题一、GPG生成的公钥无法在服务器发布二、maven depoly “gpg.exe”找不到三、maven depoly 400 无效的请求 参考博客链接: 解决gpg相关问题. 一、GPG生成的公钥无法在服务器发布 打开 GPG服务器链接,使用邮箱查询你的公钥是否发布 如果没有找到你的公钥,先导出公钥(导出步骤自行搜索),上传你的公钥,再次查询发布成功 二、maven depoly “gpg.exe”找不到 即使环境变量配
发布java工具包到 maven 中央仓库,不
热门推荐
mose-x
06-29 3万+
要想将自己的java工具提交到maven中央仓库并公开,但是maven中央仓库是不允许我们直接上传jar包到它上面的,因此我们只能将jar包发布到它指定的第三方maven仓库,然后这个仓库再将jar包同步到中央仓库。接下来,我们需要使用gpg生成秘钥,在后续包发布jar时会根据生成的秘钥进行校验,因为sonatype也需要对上传这一行为进行权健的校验,避免无意义或恶意上传文件的行为。如果是io.github.mose-x 这种git域名的,则需要新建创建完整的公开的git仓库,如下两个图(网上找的)
maven日记之maven-gpg-plugin
杀神吴起的智脑
04-20 1万+
发现的一个bug工具包是maven-gpg-plugin包; 因为此包执行逻辑有,他是按照口令顺序从前到后执行的。 举例:我要上传jar包maven中央仓库。按照要求我应该生成XX.jar、XX-source.jar、XX-javadoc.jar 以及他们对应的XX.jar.asc、XX-source.jar.asc、XX-javadoc.jar.asc签名文件。 经测...
Java项目发布Maven中央仓库全攻略
这篇教程旨在帮助开发者了解如何将自己的Java项目发布Maven中央仓库,以便于他人通过Maven依赖直接引入使用。 一、注册账号和提交申请 首先,你需要访问Sonatype的JIRA系统...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值