git push失败提示权限被拒绝如何解决？

一、问题现象与常见错误提示

在使用 Git 进行代码推送时，开发者常遇到以下两类典型错误：

• Permission denied (publickey)：表明 SSH 认证失败，通常因未配置或未正确注册 SSH 公钥。
• remote: Permission to repo denied：表示远程仓库拒绝访问，可能由权限不足、URL 配置错误或凭据失效引起。

这些错误多发于以下场景：

1. 更换开发设备后未重新配置密钥；
2. 通过 HTTPS 克隆但未启用凭据存储；
3. 误将只读 HTTPS 地址用于推送操作；
4. 团队成员权限被管理员调整或撤销；
5. 本地 SSH agent 未运行或未加载私钥。

二、认证机制对比分析

三、排查流程图（Mermaid 格式）

```mermaid
graph TD
    A[git push 失败] --> B{错误信息包含 "publickey"?}
    B -- 是 --> C[检查 SSH 密钥是否存在]
    C --> D[确认公钥已添加至平台账户]
    D --> E[验证 ssh-agent 是否运行并加载私钥]
    E --> F[测试连接: ssh -T git@github.com]

    B -- 否 --> G{是否使用 HTTPS?}
    G -- 是 --> H[检查远程 URL 正确性]
    H --> I[确认凭据管理器是否启用]
    I --> J[尝试重新输入用户名 + PAT]

    G -- 否 --> K[检查远程仓库地址格式]
    K --> L[核实用户在项目中的权限状态]
    L --> M[联系管理员确认角色分配]
```

四、SSH 配置深度解析

当出现 Permission denied (publickey) 错误时，应按以下步骤深入排查：

1. 执行 ls ~/.ssh/id_rsa.pub 或 ls ~/.ssh/id_ed25519.pub 检查密钥是否存在；
2. 若无，则生成新密钥：ssh-keygen -t ed25519 -C "your_email@example.com"；
3. 启动 SSH agent：eval "$(ssh-agent -s)"；
4. 将私钥加入 agent：ssh-add ~/.ssh/id_ed25519；
5. 复制公钥内容到剪贴板：cat ~/.ssh/id_ed25519.pub | pbcopy（macOS）；
6. 登录 GitHub/GitLab，在 Settings → SSH and GPG keys 中粘贴；
7. 测试连接：ssh -T git@github.com，预期返回欢迎信息；
8. 确保远程 URL 使用 SSH 格式：git remote set-url origin git@github.com:username/repo.git；
9. 注意防火墙或公司代理可能拦截 SSH 端口（默认 22）；
10. 某些企业 GitLab 实例使用自定义 SSH 端口，需在 ~/.ssh/config 中指定。

五、HTTPS 凭据管理策略

对于 HTTPS 推送失败的情况，重点在于凭据持久化与安全令牌的使用：

• 查看当前远程地址：git remote -v；
• 若为 HTTPS，建议启用凭据助手：git config --global credential.helper store（明文存储）或 cache（内存缓存）；
• 现代系统推荐使用 osxkeychain（macOS）、manager（Windows）或 libsecret（Linux）；
• 避免直接输入密码，改用 Personal Access Token（PAT），尤其在 GitHub 上已弃用密码认证；
• PAT 应具备 repo 权限范围，并定期轮换；
• 若使用双因素认证（2FA），必须使用 PAT 而非账户密码；
• 可通过环境变量或 CI/CD secret 注入 PAT，提升自动化安全性；
• 检查 Git 配置中是否有残留错误凭据：git config --get-all credential.helper；
• 清除错误凭据：git credential reject 并重新输入；
• 团队应统一文档说明认证标准，减少个体差异导致的问题。