在 Nexus Repository Manager 3（简称 Nexus 3）里，要让用户只能下载依赖、不能上传/推送，

给到的“最低权限”就是目标仓库（或仓库组）的 browse + read 两个 Repository View 权限，不要给任何 add / edit / delete / admin / component-upload 之类的权限即可。

官方定义里：

• read 允许下载；

• browse 允许在 UI 里看到内容列表（不等于下载）；

• add/edit/delete 会赋予上传或修改/删除能力——一定不要给。

如果你只想让构建工具能拉包，不关心 UI 浏览，理论上只给 read 也能用；但实际运维中通常一并给 browse+read，以便在 UI 里可视化排查。
另外，对仓库组（如 maven-public）授予权限，会让用户通过“组入口”访问到其成员仓库的内容，但并不会自动拥有对成员仓库“直连访问”的权限。 

一次性配置步骤（以 Maven 仓库为例）

下面以常见的 maven-public（组）/maven-central（代理）/maven-releases（托管）举例。你按自己实际仓库名替换即可。

步骤 1：创建“下载只读”角色

1. 以管理员登录 Nexus UI → Settings → Security → Roles → Create role。

2. 取名（建议）：download-only-maven-public。

3. 在 Privileges 搜索框里依次添加（至少其一，推荐都加在“组入口”即可）：

   • 我新建的proxy库有：

     jixiang-aliyun-public-proxy (proxy)

     jixiang-aliyun-public-proxy (proxy)

     jixiang-huawei-public-proxy(proxy)

     jixiang-maven-hosted-release (hosted)

     jixiang-maven-hosted-snapshot (hosted)

     jixiang-private-central-repository （mixed)

     我只想让用户通过 私库可以下载maven依赖，而不能上传lib库，但通过UI界面不能看到 自己建立的两个hosted 库（jixiang-maven-hosted-snapshot; jixiang-private-central-repositor ) 我的设置权限如下：自己新建的所有都给 read，两个自己新建的hosted 不能browse 权限

     nx-repository-view-maven2-jixiang-aliyun-public-proxy-browse

     nx-repository-view-maven2-jixiang-aliyun-public-proxy-read

     nx-repository-view-maven2-jixiang-huawei-public-proxy-browse

     nx-repository-view-maven2-jixiang-huawei-public-proxy-read

     nx-repository-view-maven2-jixiang-maven-hosted-release-read

     nx-repository-view-maven2-jixiang-maven-hosted-snapshot-read

     nx-repository-view-maven2-jixiang-private-central-repository-browse

     nx-repository-view-maven2-jixiang-private-central-repository-read

     nx-repository-view-maven2-jixiang-tencent-public-proxy-browse

     nx-repository-view-maven2-jixiang-tencent-public-proxy-read

     nx-search-read

   仅需要从组拉包时，无需再给单个成员仓库（如 maven-releases）权限。若你希望该用户也能直接访问成员仓库，再额外给相应的 browse/read。

4. （可选）如果希望此用户能在 UI 顶部用搜索框搜索组件，再加上：nx-search-read。

   • 注：3.57.0～3.75.× 版本一度要求 read 才能搜索，3.76.0 起又恢复为仅 nx-search-read 即可。

5. 保存角色。

步骤 2：创建用户并仅赋这个角色

1. Settings → Security → Users → Create local user。

2. 设置用户名/密码。

3. 在 Roles 里只勾选你刚建的 download-only-maven-public（别勾到任何 nx-repository-view-*-*-add/edit/delete、nx-repository-admin-*、nx-component-upload 之类的权限/角色）。

4. 保存用户。

如果你希望完全匿名下载：也可以在 Settings → Security → Anonymous access 打开匿名，并把一个“只读角色”授给匿名用户；其底层需要的也是 browse/read。官方亦说明 read=下载、browse=可见。

客户端配置与验证

Maven/Gradle（示例）

• 将仓库 URL 指向 组仓库（例如 http(s)://<nexus>/repository/maven-public/），并在 settings.xml（Maven）或 Gradle 的 repositories { maven { url "..." } } 中配置该用户的凭据（如需鉴权）。只授予 read/browse 就能成功解析依赖。

验证“不能上传”

1. 让该用户登录 Nexus UI → 进入任意 Maven hosted 仓库（如 maven-releases）。

   • 你会看不到“Upload”按钮，或点击会被拒绝；因为没有 add/edit 或 nx-component-upload 权限。

2. 用 Maven 执行 mvn deploy 到某个 hosted 仓库应当失败（401/403），证明无上传权限。

不同格式的最小权限速查

• Maven：nx-repository-view-maven2-<repo>-browse + read

• npm：nx-repository-view-npm-<repo>-browse + read

• PyPI：nx-repository-view-pypi-<repo>-browse + read

• Docker（pull-only）：nx-repository-view-docker-<repo>-browse + read（还需在 Docker 客户端用 docker login）

原理完全相同，都是给 Repository View 的 browse/read，不给 add/edit/delete/admin。

常见坑位与说明

• 误给了通配符权限：比如 nx-repository-view-*-*-* 或 nx-repository-admin-*-*-*，这会把上传/删除等也放开——禁止。

• 组仓库的可见性：对组授予 browse/read，可以通过组 URL 拉到成员内容，但并不自动允许直接访问成员仓库的 URL；要直连成员仓库，需要另外给成员仓库的 browse/read。

• 搜索权限：如需 UI 搜索，给 nx-search-read；3.76.0 起不再强依赖 read 来做搜索本身。

如果你把你的实际仓库名字（比如是否有 maven-public、只想暴露哪个仓库等）告诉我，我可以按你的命名直接给出一套可复制的权限清单，你拷贝即用。