深入解析 GitHub Token 与 NPM Token:自动化发布的完整指南

我们在配置github自动化发布的时候,总会用到secrets.GITHUB_TOKEN和secrets.NPM_TOKEN,本文我们讲解下这两个变量的配置。

一、GitHub Token:自动化工作流的内置凭证

1.什么是 GITHUB_TOKEN?

根据官方文档,GitHub 在每个工作流作业开始时​​自动创建​​唯一的 GITHUB_TOKEN:

  • 它是 GitHub App 安装访问令牌
  • 权限仅限于当前仓库
  • 令牌在作业结束时或最多 24 小时后过期
  • 通过 ${{ secrets.GITHUB_TOKEN }} 引用

2.关键特性

  • 自动创建:无需手动生成,开箱即用
  • 权限受限:默认权限取决于仓库设置
  • 安全隔离:令牌权限仅限于当前仓库
  • 自动过期:最大生命周期 24 小时

3.使用

使用时,需要在项目的 Settings - Actions - General 当中,勾选Read and write permissions

二、NPM Token:包发布的专用凭证

1.登录 npm 账户​​

访问 npmjs.com 并登录

2.​​生成访问令牌

  • 点击右上角头像 → Access Tokens
  • 点击 "Generate New Token"
  • 创建的时候选择"Automation"



3.保存并使用

  • 复制生成的 Token(格式:npm_xxxxxxxxxx)
  • 在 GitHub 仓库 Secrets 中添加为 NPM_TOKEN,位置如下图:

三、工作流中的最佳实践

1. 组合使用示例

yaml 复制代码
jobs:
  release:
    steps:
      - name: Publish Package
        run: npm publish
        env:
          NODE_AUTH_TOKEN: ${{ secrets.NPM_TOKEN }}

2. 安全增强策略

​​最小权限原则​​:
yaml 复制代码
permissions:
  contents: write
  packages: write
定期轮换
  • NPM Token 每 3 个月更新一次
  • 删除未使用的历史 Token
​​审计监控
bash 复制代码
# 检查 NPM Token 列表
npm token list

# 检查 GitHub 审计日志
https://github.com/settings/security-log
相关推荐
至善迎风19 小时前
版本管理系统与平台(权威资料核对、深入解析、行业选型与国产平台补充)
git·gitee·gitlab·github·svm
fengfuyao98520 小时前
诊断并修复SSH连接Github时遇到的“connection closed“错误
运维·ssh·github
明达智控技术21 小时前
MR30分布式IO在全自动中药煎药机中的应用
分布式·物联网·自动化
NocoBase21 小时前
6 个替代 Jira 的开源项目管理工具推荐
低代码·开源·github
2301_803554521 天前
github上传步骤
github
Hehuyi_In1 天前
云服务扫盲笔记(2) —— SLS 接入与设置自动化
自动化·saas·sls·日志服务
ruanCat1 天前
使用 github workflow 的 actions/setup-node 工作流,安装 pnpm 失败的 bug
github
Moonbit1 天前
月报Vol.03: 新增Bitstring pattern支持,构造器模式匹配增强
后端·算法·github
先做个垃圾出来………1 天前
Github操作
github
止观止1 天前
GitHub自动化利器:Probot框架实战指南
运维·自动化·github