深入解析 GitHub Token 与 NPM Token:自动化发布的完整指南

我们在配置github自动化发布的时候,总会用到secrets.GITHUB_TOKEN和secrets.NPM_TOKEN,本文我们讲解下这两个变量的配置。

一、GitHub Token:自动化工作流的内置凭证

1.什么是 GITHUB_TOKEN?

根据官方文档,GitHub 在每个工作流作业开始时​​自动创建​​唯一的 GITHUB_TOKEN:

  • 它是 GitHub App 安装访问令牌
  • 权限仅限于当前仓库
  • 令牌在作业结束时或最多 24 小时后过期
  • 通过 ${{ secrets.GITHUB_TOKEN }} 引用

2.关键特性

  • 自动创建:无需手动生成,开箱即用
  • 权限受限:默认权限取决于仓库设置
  • 安全隔离:令牌权限仅限于当前仓库
  • 自动过期:最大生命周期 24 小时

3.使用

使用时,需要在项目的 Settings - Actions - General 当中,勾选Read and write permissions

二、NPM Token:包发布的专用凭证

1.登录 npm 账户​​

访问 npmjs.com 并登录

2.​​生成访问令牌

  • 点击右上角头像 → Access Tokens
  • 点击 "Generate New Token"
  • 创建的时候选择"Automation"



3.保存并使用

  • 复制生成的 Token(格式:npm_xxxxxxxxxx)
  • 在 GitHub 仓库 Secrets 中添加为 NPM_TOKEN,位置如下图:

三、工作流中的最佳实践

1. 组合使用示例

yaml 复制代码
jobs:
  release:
    steps:
      - name: Publish Package
        run: npm publish
        env:
          NODE_AUTH_TOKEN: ${{ secrets.NPM_TOKEN }}

2. 安全增强策略

​​最小权限原则​​:
yaml 复制代码
permissions:
  contents: write
  packages: write
定期轮换
  • NPM Token 每 3 个月更新一次
  • 删除未使用的历史 Token
​​审计监控
bash 复制代码
# 检查 NPM Token 列表
npm token list

# 检查 GitHub 审计日志
https://github.com/settings/security-log
相关推荐
宇钶宇夕13 分钟前
针对工业触摸屏维修的系统指南和资源获取途径
单片机·嵌入式硬件·自动化
A5资源网3 小时前
cloudflare配合github搭建免费开源影视LibreTV一个独享视频网站 详细教程
github
mortimer4 小时前
从零到一:构建一个 Chatterbox-TTS API 服务
开源·github·ai编程
真智AI4 小时前
利用 Claude Opus 4 自动化 GitHub 工作流:从安装到实战详解
运维·自动化·github
寻月隐君8 小时前
Rust 网络编程实战:用 Tokio 手写一个迷你 TCP 反向代理 (minginx)
后端·rust·github
艾立泰智能包装8 小时前
电商分拣的“效率密码”:艾立泰轻量化托盘引领自动化流水线革新
运维·自动化
cpsvps_net8 小时前
Windows内存泄漏自动化
运维·自动化
喜欢吃豆9 小时前
快速手搓一个MCP服务指南(九): FastMCP 服务器组合技术:构建模块化AI应用的终极方案
服务器·人工智能·python·深度学习·大模型·github·fastmcp
油泼辣子多加18 小时前
2025年06月30日Github流行趋势
github
ai小鬼头19 小时前
AIStarter如何快速部署Stable Diffusion?**新手也能轻松上手的AI绘图
前端·后端·github