Skip to main content

Vencimento e revogação de token

Seus tokens podem expirar e também podem ser revogados por você, por aplicativos que você autorizou e pelo próprio GitHub.

Quando um token vencer ou for revogado, ele não poderá mais ser usado para autenticar solicitações do Git e da API. Não é possível restaurar um token vencido ou revogado, você ou o aplicativo deverá criar um novo token.

Este artigo explica os possíveis motivos pelos quais seu GitHub token pode ser revogado ou expirar.

Observação

Quando um personal access token, um token OAuth app ou um token GitHub App expira ou é revogado, você poderá ver a ação oauth_authorization.destroy no seu registro de segurança. Para saber mais, confira Revisar seus logs de segurança.

Token revogado após atingir sua data de validade

Ao criar um personal access token, recomendamos que você defina uma expiração para o token. Ao alcançar a data de vencimento do seu token, este será automaticamente revogado. Para saber mais, confira Gerenciar seus tokens de acesso pessoal.

Token revogado quando enviado por push para um repositório público ou gist público

Se um token OAuth válido, um token GitHub App ou personal access token for publicado em um repositório público ou em um gist público, o token será automaticamente revogado.

Token vencido devido à falta de uso

GitHub revogará automaticamente um token OAuth ou personal access token quando o token não tiver sido usado em um ano.

Token revogado pelo usuário

Você pode revogar a autorização de um GitHub App ou OAuth app nas configurações da sua conta, o que revogará todos os tokens associados ao aplicativo. Para saber mais, confira Revisão e revogação da autorização de aplicativos GitHub e Revisar aplicações OAuth autorizadas.

Depois que uma autorização for revogada, todos os tokens associados à autorização também serão revogados. Para reautorizar um aplicativo, siga as instruções do aplicativo ou site de terceiros para conectar sua conta GitHub novamente.

Você também pode revogar todas as suas credenciais de uma vez das configurações de sua conta. Isso é útil se você acredita que sua conta pode estar comprometida ou seu hardware foi perdido ou roubado. Para saber mais, confira Revogando suas credenciais.

Token revogado por terceiros

Para impedir o acesso não autorizado usando tokens expostos, GitHub recomenda a revogação de token para garantir que um token não possa mais ser usado para autenticar GitHub. A API de revogação de credenciais dá suporte à revogação dos seguintes tipos de token:

  • Personal access tokens (classic) com o ghp_ prefixo
  • Fine-grained personal access tokens com o github_pat_ prefixo
  •           OAuth app tokens com o prefixo `gho_`
    
  •           GitHub App tokens de usuário para servidor com o prefixo `ghu_`
    
  •           GitHub App atualizar tokens com o prefixo `ghr_`
    

Se você encontrar qualquer um desses tokens vazados em GitHub ou em outro lugar, poderá enviar uma solicitação de revogação por meio da API REST. Consulte Revogação para obter a lista completa e autoritativa de tipos de token com suporte.

Quando um token válido é enviado à GitHubAPI de revogação de credenciais, o token será revogado automaticamente. Essa API permite que um terceiro revogue um token que não é de sua propriedade e ajuda a proteger os dados associados a esse token contra acesso não autorizado, limitando o impacto dos tokens expostos.

Para incentivar relatórios e garantir que tokens expostos possam ser revogados de maneira rápida e fácil, não precisamos de autenticação para as solicitações de revogação enviadas por meio da API. Como resultado, GitHub não é possível fornecer mais informações sobre a origem do token relatado.

Token revogado pelo OAuth app

O proprietário de OAuth app pode revogar a autorização de uma conta para seu aplicativo; isso também revogará todos os tokens associados a essa autorização. Para obter mais informações sobre como revogar as autorizações de seu OAuth app, consulte Pontos de extremidade da API REST para autorizações de OAuth.

OAuth app os proprietários também podem revogar tokens individuais associados a uma autorização. Para obter mais informações sobre como revogar tokens individuais para o seu OAuth app, consulte Pontos de extremidade da API REST para autorizações de OAuth.

Token revogado devido ao excesso de tokens para um OAuth app com o mesmo escopo

Há um limite de dez tokens emitidos por combinação de usuário/aplicativo/escopo e um limite de taxa de dez tokens criados por hora. Se um aplicativo criar mais de dez tokens para o mesmo usuário e os mesmos escopos, os tokens mais antigos com a mesma combinação de usuário/aplicativo/escopo serão revogados. No entanto, atingir o limite da taxa horária não revogará seu token mais antigo. Em vez disso, ele acionará um aviso de reautorização no navegador, solicitando que o usuário verifique novamente as permissões que está concedendo ao seu aplicativo. Esse prompt tem o objetivo de interromper qualquer possível loop infinito em que o aplicativo esteja preso, já que há pouca ou nenhuma razão para um aplicativo solicitar dez tokens do usuário em uma hora.

O token de usuário expirou devido à GitHub App configuração

Os tokens de acesso do usuário criados por um GitHub App expirarão após oito horas por padrão e, em seguida, deverão ser regenerados usando o token de atualização incluído. GitHub Apps Opcionalmente, os proprietários podem configurar esses tokens para nunca expirarem, mas isso não é recomendado devido às implicações de segurança. Para obter mais informações sobre como configurar os GitHub Apptokens de acesso do usuário, consulte Ativando recursos opcionais para aplicativos GitHub.

Token revogado pelos proprietários da empresa

Os proprietários da empresa no GitHub Enterprise Cloud podem revogar as autorizações de SSO ou excluir as credenciais de usuários individuais ou em massa ao responderem a incidentes de segurança. Revogar autorizações de SSO remove o acesso aos recursos da organização protegidos por SSO, enquanto excluir credenciais (disponível apenas para Enterprise Managed Users) remove totalmente essas credenciais.

Para saber mais, confira Revogando autorizações de SSO ou excluindo credenciais em sua empresa.