Wenn ein Token abgelaufen ist oder widerrufen wurde, kann es nicht mehr verwendet werden, um Git- und API-Anforderungen zu authentifizieren. Es ist nicht möglich, ein abgelaufenes oder widerrufenes Token wiederherzustellen. Es muss ein neues Token durch dich oder die Anwendung erstellt werden.
In diesem Artikel werden die möglichen Gründe erläutert, warum Ihr GitHub Token widerrufen oder ablaufen kann.
Hinweis
Wenn ein personal access token-, OAuth app- oder GitHub App-Token abläuft oder widerrufen wird, wird in Ihrem Sicherheitsprotokoll möglicherweise die Aktion oauth_authorization.destroy angezeigt. Weitere Informationen finden Sie unter Sicherheitsprotokoll überprüfen.
Token widerrufen, nachdem das Ablaufdatum erreicht wurde
Wenn Sie ein personal access token erstellen, empfehlen wir Ihnen, ein Ablaufdatum für Ihr Token festzulegen. Beim Erreichen des Ablaufdatums wird das Token automatisch widerrufen. Weitere Informationen finden Sie unter Verwalten deiner persönlichen Zugriffstoken.
Vom Benutzer widerrufenes Token
Sie können die Autorisierung für eine GitHub App oder OAuth app in Ihren Kontoeinstellungen widerrufen; dadurch werden alle mit der App verknüpften Token ungültig gemacht. Weitere Informationen findest du unter Überprüfen und Widerrufen der Autorisierung von GitHub Apps und Überprüfen der autorisierten OAuth-Apps.
Sobald eine Autorisierung widerrufen wurde, werden auch alle Token, die der Autorisierung zugeordnet sind, widerrufen. Um eine Anwendung erneut zu autorisieren, befolgen Sie die Anweisungen aus der Anwendung oder Website des Drittanbieters, um Ihr Konto GitHub erneut zu verbinden.
Token widerrufen durch den OAuth app
Der Besitzer eines OAuth app Kontos kann die Autorisierung seiner App widerrufen. Dadurch werden auch alle Token widerrufen, die der Autorisierung zugeordnet sind. Weitere Informationen zum Widerrufen der Autorisierungen für Ihr OAuth app finden Sie unter REST-API-Endpunkte für OAuth-Autorisierungen.
OAuth app Besitzer können auch einzelne Token widerrufen, die einer Autorisierung zugeordnet sind. Weitere Informationen zum Widerrufen einzelner Token für Ihr OAuth appfinden Sie unter REST-API-Endpunkte für OAuth-Autorisierungen.
Token aufgrund einer zu hohen Anzahl von Tokens für ein OAuth app mit demselben Geltungsbereich widerrufen
Es gibt eine Obergrenze von zehn Token, die pro Nutzer/Anwendung/Geltungsbereich-Kombination ausgegeben werden, und eine Ratebegrenzung von zehn Token, die pro Stunde erstellt werden. Wenn eine Anwendung mehr als zehn Token für denselben Benutzer und dieselben Bereiche erstellt, werden die ältesten Token mit derselben Kombination aus Benutzer, Anwendung und Bereich entzogen. Das Erreichen der Stundensatzgrenze führt jedoch nicht zum Entzug des ältesten Tokens. Stattdessen wird eine Aufforderung zur erneuten Autorisierung im Browser ausgelöst, und der Benutzer wird aufgefordert, die der App gewährten Berechtigungen zu überprüfen. Diese Aufforderung soll eine potenzielle Endlosschleife unterbrechen, in der die App steckt, denn es gibt kaum oder überhaupt keinen Grund für eine App, vom Benutzer innerhalb einer Stunde zehn Token anzufordern.
Benutzertoken ist aufgrund der GitHub App Konfiguration abgelaufen
Benutzerzugriffstoken, die von einem GitHub App erstellt wurden, laufen standardmäßig nach acht Stunden ab und müssen dann mithilfe des enthaltenen Aktualisierungstokens neu generiert werden. Besitzer von GitHub Apps können diese Token optional so konfigurieren, dass sie alternativ nie ablaufen; dies wird jedoch aufgrund der damit verbundenen Sicherheitsrisiken nicht empfohlen. Weitere Informationen zum Konfigurieren der GitHub AppBenutzerzugriffstoken finden Sie unter Aktivieren optionaler Features für GitHub Apps.