GPG 签名和验证如何工作?

How GPG signing and verification works?

我在 Bintray 中添加了 Public 用于 GPG 签名的密钥和私钥。根据文档,上传的内容将使用私钥自动签名。

GPG signing allows you to automatically sign your uploaded content. You can find more information in the documentation.

根据文档,用户可以使用 Public 密钥验证内容。

GPG signing is an optional feature of Bintray that allows the publisher of uploaded material to sign it so it can be verified as authentic and original by the users.

用户如何实际完成此验证?

例如:

在AndroidStudio中添加以下依赖build.gradle

compile 'com.example.test:test:0.0.1'

在阅读了很多关于在 BinTray 中加载 Android 库的教程后,我仍然不明白为什么我需要 PGP 密钥。

这是我的理解:

如果您需要将 Android 库上传到 jCenter 并将其用作 Gradle 依赖项,您实际上不需要向您的 BinTray 帐户提供任何 PGP 密钥。只需使用 Android Studio 上传库,然后单击:添加到 jCenter。

但是如果你想将你的库添加到 Maven Central,你必须(但也许我错了)使用 PGP 密钥对其进行签名。

在 BinTray 文档中:

Using the optional GPG Signing feature (currently available for Maven repositories) to sign your material so that it can be verified as authentic and original by other users.

您的问题:

How this dependency is verified and where i have to add the public key for verification?

如果您使用 Android Studio 上传您的库并想将其添加到 Maven Central,您必须将 public 密钥添加到库 build.gradle 文件中。有很多教程如何做到这一点。

If verification should done through terminal with gpg command, where i will get the .aar?

有人将库上传到 Maven Central (BinTray) 时会进行验证。 Maven Central (BinTray) 检查库是否由所有者上传(o 拥有 PGP 密码的人)。