Skip to main content

Expiration et révocation des jetons

Vos jetons peuvent expirer et peuvent également être révoqués par vous, les applications que vous avez autorisées et GitHub elle-même.

Quand un jeton a expiré ou a été révoqué, il ne peut plus être utilisé pour authentifier les requêtes Git et les requêtes d’API. Il n’est pas possible de restaurer un jeton révoqué ou qui a expiré. Un autre jeton devra être créé par l’application ou par vous-même.

Cet article explique les raisons possibles pour lesquelles votre GitHub jeton peut être révoqué ou expirer.

Remarque

Lorsqu’un jeton personal access token, un jeton OAuth app ou un jeton GitHub App expire ou est révoqué, il se peut que vous voyiez une action oauth_authorization.destroy dans votre journal de sécurité. Pour plus d’informations, consultez « Examen de votre journal de sécurité ».

Jeton révoqué après avoir atteint sa date d’expiration

Lorsque vous créez un personal access tokenjeton, nous vous recommandons de définir une expiration pour votre jeton. Quand la date d’expiration de votre jeton est atteinte, il est automatiquement révoqué. Pour plus d’informations, consultez « Gestion de vos jetons d’accès personnels ».

Jeton révoqué quand il est poussé (push) sur un dépôt ou un Gist public

Si un jeton OAuth valide, un jeton GitHub App ou personal access token est poussé vers un dépôt public ou un gist public, le jeton sera automatiquement révoqué.

Le jeton a expiré car il n’est pas suffisamment utilisé

GitHub révoque automatiquement un jeton OAuth ou personal access token lorsque le jeton n’a pas été utilisé en un an.

Jeton révoqué par l’utilisateur

Vous pouvez révoquer l’autorisation accordée à un GitHub App ou à OAuth app depuis les paramètres de votre compte, ce qui entraînera la révocation de tous les jetons associés à l’application. Pour plus d’informations, consultez « Examen et révocation de l’autorisation des applications GitHub » et « Examen de vos applications autorisées OAuth ».

Quand une autorisation est révoquée, tous les jetons associés à l’autorisation sont également révoqués. Pour réauthoriser une application, suivez les instructions de l’application ou du site web tiers pour reconnecter votre compte GitHub .

Vous pouvez également révoquer toutes vos informations d’identification à la fois à partir des paramètres de votre compte. Cela est utile si vous pensez que votre compte peut être compromis ou que votre matériel a été perdu ou volé. Pour plus d’informations, consultez « Révocation de vos informations d’identification ».

Jeton révoqué par un tiers

Pour empêcher l’accès non autorisé à l’aide de jetons exposés, GitHub recommande la révocation des jetons pour s’assurer qu’un jeton ne peut plus être utilisé pour s’authentifier auprès GitHubde . L’API de révocation des informations d’identification prend en charge la révocation des types de jetons suivants :

  • Personal access tokens (classic) avec le ghp_ préfixe
  • Fine-grained personal access tokens avec le github_pat_ préfixe
  • Jetons OAuth app avec le préfixe gho_
  • GitHub App jetons de l'utilisateur au serveur avec le préfixe ghu_
  • GitHub App Jetons d'actualisation avec le préfixe ghr_

Si vous trouvez l’un de ces jetons divulgué sur GitHub ou ailleurs, vous pouvez soumettre une demande de révocation via l’API REST. Consultez Révocation pour obtenir la liste complète et faisant autorité des types de jetons pris en charge.

Lorsqu’un jeton valide est envoyé à GitHubl’API de révocation des informations d’identification, le jeton est automatiquement révoqué. Cette API permet à un tiers de révoquer un jeton dont il n’est pas propriétaire et contribue à protéger les données associées à ce jeton contre tout accès non autorisé, limitant ainsi l’impact des jetons exposés.

Afin d’encourager les signalements et de garantir que les jetons exposés puissent être rapidement et facilement révoqués, nous n’exigeons pas d’authentification pour les demandes de révocation soumises via l’API. Par conséquent, GitHub ne peut pas fournir d’informations supplémentaires sur la source du jeton signalé.

Token révoqué par le OAuth app

Le propriétaire du OAuth app peut révoquer l’autorisation qu’un compte a accordée à son application ; cela révoquera également tous les jetons associés à cette autorisation. Pour plus d’informations sur la révocation des autorisations de votre OAuth app, consultez Points de terminaison d’API REST pour les autorisations OAuth.

OAuth app les propriétaires peuvent également révoquer des jetons individuels associés à une autorisation. Pour plus d’informations sur la révocation de jetons individuels pour votre OAuth app, consultez Points de terminaison d’API REST pour les autorisations OAuth.

Jeton révoqué en raison d’un nombre excessif de jetons pour un OAuth app ayant la même portée

Le nombre de jetons émis par combinaison utilisateur/application/étendue est limité à dix, avec une limite de taux de dix jetons créés par heure. Si une application crée plus de 10 jetons pour le même utilisateur et les mêmes étendues, les jetons les plus anciens avec la même combinaison utilisateur/application/étendue seront révoqués. Toutefois, le fait d'atteindre la limite de débit horaire ne va pas révoquer votre jeton le plus ancien. Au lieu de cela, il déclenche une invite de ré-autorisation dans le navigateur, demandant à l’utilisateur de doubler vérifier les autorisations qu’il accorde à votre application. Cette invite est destinée à donner une pause à toute boucle infinie potentielle dans laquelle l’application est bloquée, car il n’y a pas de raison pour une application de demander dix jetons à l’utilisateur dans un délai d’une heure.

Le jeton utilisateur a expiré en raison de la GitHub App configuration

Les jetons d’accès utilisateur créés par un GitHub App expirent après huit heures par défaut, puis doivent ensuite être régénérés à l’aide du jeton d’actualisation inclus. Les propriétaires de GitHub Apps peuvent également configurer ces jetons pour qu’ils n’expirent jamais, mais cela n’est pas recommandé en raison des risques pour la sécurité. Pour plus d’informations sur la configuration des jetons d’accès utilisateur de votre GitHub App, consultez Activation des fonctionnalités facultatives pour GitHub Apps.

Jeton révoqué par les propriétaires de l’entreprise

Les propriétaires d’entreprise sur GitHub Enterprise Cloud peuvent révoquer des autorisations SSO ou supprimer les identifiants pour des utilisateurs spécifiques ou en masse en réponse à des incidents de sécurité. La révocation des autorisations d’authentification unique supprime l’accès aux ressources d’organisation protégées par l’authentification unique, tout en supprimant les informations d’identification (disponibles uniquement pour Enterprise Managed Users ) supprime entièrement les informations d’identification.

Pour plus d’informations, consultez « Révocation des autorisations d’authentification unique ou suppression d’informations d’identification dans votre entreprise ».