有没有办法让安装 GitHub 应用程序的用户生成一个永久安装访问令牌,该应用程序可以使用该令牌来作为该应用程序进行身份验证和执行操作?
我想创建一个简单的 GitHub 应用程序,该应用程序将在 CI 服务器上运行,并使用其中一个测试的数据对 PR 进行评论。
由于此应用由用户在其 CI 服务器上运行,因此无法存储 GitHub 应用的私钥,该私钥通常用于生成访问令牌,如 here 所述。
理想情况下,如果用户可以为应用生成永久安装访问令牌,他们可以在应用在 CI 服务器上运行时安全地将该密钥提供给应用,以便应用可以与 GitHub API 通信并作为应用进行身份验证。
我意识到用户可以提供用户访问令牌,并且应用程序可以通过这种方式进行身份验证 - 但是当应用程序 cmet 时,它需要显示为来自应用程序,而不是用户(我不相信这会如果应用使用用户访问令牌进行身份验证,则会发生这种情况)。
【问题讨论】:
标签: authentication github github-api
我认为您可能会将“GitHub 应用程序”与访问 GitHub API 的更通用的工具概念混淆。 Apps 系统是一种为 GitHub 构建托管服务的特定方式,该服务具有自己的身份验证模型。用户不能自己运行应用程序,因为它只是围绕托管/SaaS 工具设计的。对于某人自己运行的东西,您需要最终用户在 GitHub 上为机器人创建一个新用户帐户,然后对其进行身份验证(OAuth 或个人访问令牌,无关紧要)。
【讨论】:
这是一个老问题,但为了在这里获得正确的信息...
@osowskit 的回答在提到您需要使用 JWT 方面是正确的,但就必须使用 webhook 而言并非如此。使用应用程序进行访问控制确实有优势 - GitHub 应用程序可以仅对某些存储库授予特定访问权限。现在至少有一些 CI 系统(至少是 Jenkins)在某些用途上原生支持 GitHub 应用访问。
原始请求中的基本缺陷是与应用关联的永久 PAT 的请求。这不是他们的工作方式。相反,您为应用程序生成一个私钥,它应该存储在 CI 机密系统中。现在您确实需要某种 PAT 来实际执行操作 - 在这里添加 PR 评论 - 只是您没有永久的 PAT。相反,您每次需要运行时都会生成临时 PAT - IIRC 这些 PAT 持续大约一个小时,因此对大多数单一作业很有用,但每次都生成而不是这样存储。
获得代码后,使用 jwt 令牌没什么大不了的 - 它只涉及几个额外的 REST 调用。
【讨论】:
有没有办法让安装 GitHub 应用程序的用户生成一个永久安装访问令牌,该应用程序可以使用该令牌来作为该应用程序进行身份验证和执行操作?
也许可以,但没有必要。 GitHub 应用程序只会对用户授予其访问权限的数据执行操作。应用在 GitHub 上修改的任何数据都将显示为应用“执行”的操作。
理想情况下,如果用户可以为应用生成永久安装访问令牌,他们可以在应用在 CI 服务器上运行时安全地将该密钥提供给应用,以便应用可以与 GitHub API 通信并作为应用进行身份验证。
根据您提供的信息,这应该不是必需的。用户授予对 GitHub 应用程序的访问权限以访问特定资源并侦听特定事件;一个 GitHub 应用程序需要一个安装 ID(或多个安装 ID)来与 GitHub 数据交互。
好消息是,对于您概述的 CI 工作流程,GitHub 将在 webhook 有效负载中发送安装 ID - 可能是 push 事件。
我意识到用户可以提供用户访问令牌,并且应用程序可以通过这种方式进行身份验证 - 但是当应用程序 cmet 时,它需要显示为来自应用程序,而不是用户(我不相信这会如果应用使用用户访问令牌进行身份验证,则会发生这种情况)。
不需要生成个人访问令牌 (PAT),并且创建 GitHub 应用程序是为了避免创建服务帐户或向 CI 环境添加凭据。
installation id 的负载
installation access token。installation access token修改数据。请注意,此令牌会在一小时后过期。【讨论】: