当然可以实现！Maven原生虽然没直接提供「把Git仓库当依赖源」的功能，但有几个非常贴合你场景的方案，既能用SSH拉取源码避开token泄露风险，又能让api和web项目顺利依赖core的代码。结合你自托管GitLab的情况，给你两个最靠谱的实现方式：

方案一：用Maven SCM插件自动拉取并构建Git源码 #

这个方案的核心思路是：在api或web项目的pom.xml中配置插件，让Maven在构建初始化阶段，自动通过SSH拉取core仓库的源码，然后在本地构建并安装到本地Maven仓库，之后api和web就能像用普通Jar依赖一样引用core了。

具体配置可以这么写（把占位符换成你自己的GitLab地址和仓库信息）：

<build>
    <plugins>
        <!-- 拉取远程Git仓库源码 -->
        <plugin>
            <groupId>org.apache.maven.plugins</groupId>
            <artifactId>maven-scm-plugin</artifactId>
            <version>1.12.0</version>
            <executions>
                <execution>
                    <id>checkout-core</id>
                    <phase>initialize</phase>
                    <goals>
                        <goal>checkout</goal>
                    </goals>
                    <configuration>
                        <connectionUrl>scm:git:ssh://git@your-gitlab-domain/your-group/core.git</connectionUrl>
                        <checkoutDirectory>${project.build.directory}/core</checkoutDirectory>
                        <!-- 可选：指定拉取的分支、标签或commit hash -->
                        <revision>main</revision>
                    </configuration>
                </execution>
            </executions>
        </plugin>
        <!-- 构建并安装core到本地Maven仓库 -->
        <plugin>
            <groupId>org.apache.maven.plugins</groupId>
            <artifactId>maven-install-plugin</artifactId>
            <version>3.1.0</version>
            <executions>
                <execution>
                    <id>install-core</id>
                    <phase>initialize</phase>
                    <goals>
                        <goal>install-file</goal>
                    </goals>
                    <configuration>
                        <pomFile>${project.build.directory}/core/pom.xml</pomFile>
                        <groupId>your-group-id</groupId>
                        <artifactId>core</artifactId>
                        <version>your-core-version</version>
                        <packaging>jar</packaging>
                        <file>${project.build.directory}/core/target/core-${your-core-version}.jar</file>
                    </configuration>
                </execution>
            </executions>
        </plugin>
    </plugins>
</build>

配置完之后，你运行mvn clean install时，Maven会自动先拉取core的源码到项目的target目录，构建成Jar包并安装到本地仓库，之后api/web的依赖就能正常引用core了。

方案二：Git子模块+Maven多模块组合 #

如果你的api和web项目需要经常同步core的最新代码，这个方案用起来更顺手：

1. 先把core仓库作为api和web仓库的Git子模块添加进去，用SSH地址：

   # 在api项目根目录执行
   git submodule add ssh://git@your-gitlab-domain/your-group/core.git core
   

2. 然后在api项目的pom.xml中，把core作为子模块包含进来：

   <modules>
       <module>core</module>
   </modules>
   

3. 最后在api项目的依赖中直接引用core：

   <dependencies>
       <dependency>
           <groupId>your-group-id</groupId>
           <artifactId>core</artifactId>
           <version>your-core-version</version>
       </dependency>
   </dependencies>
   

这样每次拉取api代码时，员工可以用git submodule update --init --recursive拉取core的最新代码（也可以配置Git自动拉取子模块），执行mvn clean install时，Maven会先构建core模块，再构建api，全程用SSH认证，完全不需要配置任何token。

注意事项 #

• 确保所有员工本地都配置了Git SSH密钥，并且已经在你们的自托管GitLab上授权，这样才能无密码拉取仓库，彻底避免token泄露风险。
• 如果需要依赖core的特定版本，方案一中可以在revision字段指定标签或commit hash；方案二中可以切换子模块到对应的标签/commit后，提交子模块的引用即可。
• 方案一的好处是core和api/web还是完全独立的仓库，不会互相干扰；方案二更适合需要紧密同步代码的场景，版本管理起来更直观。