Как работает аутентификация пакетов Sonatype?

Я предполагаю, что вы спрашиваете о загрузке своих артефактов в центральный репозиторий через OSSRH. В текущая пользовательская документация для OSSRH подробно описывает, что вы вам нужно подписать ваши пакеты с помощью GPG. Загрузка осуществляется через OSSRH и имя пользователя, которое у вас есть. Аутентификация пакетов выполняется с помощью ваших учетных данных пользователя, а затем подпись пакета проверяется на соответствие пулам открытых ключей. Насколько я знаю, он НЕ проверяет, подписаны ли пакеты вами, а просто проверяет, подписаны ли они с помощью общедоступного действительного ключа, и вы можете загружать только с помощью своего имени пользователя/пароля.

Обновление: Преимущество требования подписанных артефактов заключается в том, что после загрузки артефакты могут быть проверены на наличие подписи и контрольной суммы, и поэтому вы можете гарантировать, что вы загружаете только пакеты, изначально отправленные загрузчиком, и не были изменены в Central или в транспорте. на ваш сервер. В связи с этим рекомендуется подключаться к Central через https, который предлагается как дешевый сервис Sonatype и используется по умолчанию в Nexus Pro.