有些连接到其他服务的 Emacs 软件包需要身份验证，由于反复提供相同的用户名和密码可能会令人烦恼，Emacs 通过 auth-source 库提供了持久化信息。

默认情况下，身份验证信息来自 ~/.authinfo 或 ~/.authinfo.gpg 或 ~/.netrc 文件。

这些文件的语法与 ftp 程序中的 netrc 文件类似，如下所示：

machine mymachine login myloginname password mypassword port myport

Source

Emacs 是通过 auth-source 去实现身份验证的，一般将验证信息(例如 API Key)存储在这三个文件中:

• ~/.authinfo
• ~/.authinfo.gpg (加密)
• ~/.netrc

而验证信息的格式是：

machine mymachine login myloginname password mypassword port myport

其中:

• machine 服务器，DNS 名称或 IP 地址，在 auth-source-search¹ 查询中称为 :host 。
• login 是用户名，在 auth-source-search 查询中称为 :user 。也可以使用 login 和 account 。
• port 是连接端口或协议，在 auth-source-search 查询中称为 :port 。
• password 就是对应的密钥，或者 API key 之类的

一些例子：

machine localhost login spike port sudo password xxxx
machine 192.168.100.100 login root port ssh password xxxx
machine api.deepseek.com login apikey password xxxx
machine api.siliconflow.cn login apikey password xxxx
machine openrouter.ai login apikey password xxxx
machine openrouter.ai/api login apikey password xxxx

一些插件可能会基于 machine 或者 login 去查找密钥，具体如何设置就需要看插件是如何读取的。

例如 emacs-immersive-translate 是这样读取的:

immersive-translate-api-key:

(defun immersive-translate-api-key (host user)
  "Lookup api key in the auth source.

By default, `immersive-translate-chatgpt-host' is used as HOST
and \"apikey\" as USER in Chatgpt backend.
\"fanyi-api.baidu.com\" is used as HOST and
`immersive-translate-baidu-appid' as USER in Baidu backend."
  (if-let ((secret (plist-get (car (auth-source-search
                                    :host host
                                    :user user
                                    :require '(:secret)))
                              :secret)))
      (if (functionp secret)
          (encode-coding-string (funcall secret) 'utf-8)
        secret)
    (user-error "No %s found in the auth source" user)))

immersive-translate-chatgpt.el 中设置 ChatGPT 的密钥:

;; ...其他代码
("Authorization" . ,(concat "Bearer " (immersive-translate-api-key
                                       immersive-translate-chatgpt-host
                                       "apikey"))))))
;; ...其他代码

可以看到，emacs-immersive-translate 基于 :host 和 :user 去查找的：

• :host (machine) 是 immersive-translate-chatgpt-host ，默认是 api.openai.com
• :user (login) 是 apikey

所以按照默认配置，当你获取到 openai 的 API key 后，要这样配置:

machine api.openai.com login apikey password your_openai_api_key

我对 GnuPG 研究得不多，简单分享一下如何创建 gpg 密钥，如何加密文件。

1. 创建 gpg 密钥

执行 gpg --full-generate-key ，按照提示完成创建即可。

创建完成后可以通过 gpg --list-keys 查看当前得密钥，例如我执行后会得到：

/home/spike/.gnupg/pubring.kbx
------------------------------
pub   rsa4096 2025-02-27 [SC]
      1BAF5568B6AFD3DB367B865B50AC4C6F1FD4B1CF
uid           [ultimate] SpikeLeung <[email protected]>
sub   rsa4096 2025-02-27 [E]

其中:

• 1BAF5568B6AFD3DB367B865B50AC4C6F1FD4B1CF 是指纹(fingerprint)²
• [ultimate] SpikeLeung <[email protected]> 是 uid
• [email protected] 是和这个 gpg 密钥关联的邮箱
• 加密文件

gpg -e -r "SpikeLeung" ~/.authinfo 或者 gpg -e -r "[email protected]" ~/.authinfo

其中， -e 表示加密， -r 指定使用哪个 user-id，对应的是上面 uid 中的内容，你可以用名字或者邮箱。

加密成功的话，就会在当前目录生成一个带有 .gpg 后缀的加密文件 ~/.authinfo.gpg 。

原来 ~/.authinfo 是未加密的，Emacs 里可以随便访问，现在加密了，那么在访问前就要先解密才能访问了。

为了让 Emacs 能够解密 gpg 加密的文件，我们需要让 Emacs 能够读取 gpg 密钥，然后用密钥去解密。

EasyPG Assistant (epa-file)

(setq epa-pinentry-mode 'loopback) ;; 在 minibuffer 输入密码

The Unix password store (pass)

(auth-source-pass-enable)