Skip to main content

Истечение срока действия и отзыв маркера

Ваши токены могут истечь сроком действия и быть также аннулированы вами, авторизованными вами приложениями и GitHub самим собой.

Если срок действия маркера истек или отменен, он больше не может использоваться для проверки подлинности запросов Git и API. Невозможно восстановить истекший или отозванный маркер; вам или приложению потребуется создать новый маркер.

В этой статье объясняются возможные причины, по которым ваш GitHub токен может быть аннулирован или истечь.

Примечание.

Когда personal access tokenтокен OAuth appGitHub App или токен истекает или аннулируется, вы можете увидеть действие oauth_authorization.destroy в журнале безопасности. Дополнительные сведения см. в разделе Просмотр журнала безопасности.

Маркер отозван после истечения срока действия

Когда вы создаёте personal access token, мы рекомендуем установить срок действия для вашего токена. После истечения срока действия маркера он автоматически отзывается. Дополнительные сведения см. в разделе Управление личными маркерами доступа.

Маркер отзывается при отправке в общедоступный репозиторий или общедоступный gist

Если действительный OAuth токен, GitHub App токен или personal access token отправлен в публичный репозиторий или публичный gist, токен автоматически будет аннулирован.

Срок действия маркера истек ввиду его неактивности

GitHub автоматически аннулирует токен OAuth или personal access token если токен не использовался в течение одного года.

Маркер отозван пользователем

Вы можете отозвать авторизацию GitHub App или OAuth app через настройки аккаунта, что отменит все токены, связанные с приложением. Дополнительные сведения см. в разделе [AUTOTITLE и Проверка и отзыв авторизации приложений GitHub](/apps/oauth-apps/using-oauth-apps/reviewing-your-authorized-applications-oauth).

После отмены авторизации все маркеры, связанные с авторизацией, также будут отозваны. Чтобы повторно авторизировать приложение, следуйте инструкциям стороннего приложения или сайта, чтобы снова подключить аккаунт GitHub .

Вы также можете одновременно отозвать все свои учетные данные из настроек аккаунта. Это полезно, если вы считаете, что ваш аккаунт может быть скомпрометирован или оборудование потеряно или украдено. Дополнительные сведения см. в разделе Отзыв ваших удостоверений.

Маркер, отозванный сторонним поставщиком

Чтобы предотвратить несанкционированный доступ с использованием открытых токенов, GitHub рекомендуется аннулировать токен, чтобы гарантировать, что токен больше не может использоваться для аутентификации в GitHub. API отзыва учетных данных поддерживает отзыв следующих типов токенов:

  • Personal access tokens (classic)с префиксом ghp_
  • Fine-grained personal access tokensс префиксом github_pat_
  • OAuth appжетоны с префиксом gho_
  • GitHub Appтокены user-to-server с префиксом ghu_
  • GitHub AppТокены обновления с префиксом ghr_

Если вы обнаружите, что какой-либо из этих токенов утекает или GitHub где-то ещё, вы можете подать запрос на отзыв через REST API. См. отзыва для полного и авторитетного списка поддерживаемых типов токенов.

Когда действительный токен отправляется в GitHubAPI отзыва учетных данных , токен автоматически отменяется. Этот API позволяет третьей стороне отозвать маркер, который он не владеет, и помогает защитить данные, связанные с этим маркером, от несанкционированного доступа, что ограничивает влияние предоставленных маркеров.

Чтобы поощрять отчеты и гарантировать, что открытые маркеры можно быстро и легко отозвать, мы не требуем проверки подлинности для запросов отзыва, отправленных через API. В результате GitHub не может предоставить дополнительную информацию о источнике указанного токена.

Жетон аннулирован OAuth app

Владелец OAuth app может отменить авторизацию аккаунта на своё приложение, это также аннулирует любые токены, связанные с авторизацией. Для получения дополнительной информации об отзыве авторизаций вашего OAuth app, смотрите Конечные точки REST API для авторизации OAuth.

OAuth app Владельцы также могут аннулировать отдельные токены, связанные с авторизацией. Для получения дополнительной информации об отзыве отдельных токенов для вашего OAuth appсмотрите Конечные точки REST API для авторизации OAuth.

Токен аннулирован из-за избытка токенов для токенов OAuth app с аналогичным объёмом

Существует ограничение в десять маркеров, выдаваемых для каждого пользователя или приложения или области, и ограничение скорости в десять маркеров, созданных в час. Если приложение создает более десяти маркеров для одного и того же пользователя и той же области, то отозваны самые старые маркеры с одним и тем же сочетанием пользователя или приложения или области. Однако при нажатии почасового ограничения скорости не отозван старый токен. Вместо этого он активирует запрос повторной авторизации в браузере, запрашивая у пользователя двойной проверки разрешений, которые они предоставляют приложению. Этот запрос предназначен для того, чтобы дать перерыв любому потенциальному бесконечному циклу приложения зависает, так как не существует никаких причин для приложения запрашивать десять токенов от пользователя в течение часа.

Пользовательский токен истёк из-за конфигурации GitHub App

Пользовательские токены доступа, созданные по GitHub App умолчанию, по умолчанию истекают через восемь часов, и затем должны быть восстановлены с помощью включённого токена обновления. Владельцы GitHub Apps могут по желанию настроить так, чтобы эти токены никогда не истекали, но это не рекомендуется из-за вопросов безопасности. Для получения дополнительной информации о настройке GitHub Appтокенов доступа пользователя вашего пользователя см. AUTOTITLE.

Токен, аннулированный владельцами предприятий

Владельцы GitHub Enterprise Cloud предприятий могут аннулировать авторизации SSO или удалять учетные данные отдельных пользователей или массово при реагировании на инциденты с безопасностью. Отзыв авторизаций SSO лишает доступ к ресурсам организации, защищённым SSO, а удаление учетных данных (доступных только для Enterprise Managed Users них) полностью удаляет эти учетные данные.

Дополнительные сведения см. в разделе Отзыв авторизаций SSO или удаление учетных данных в вашем предприятии.