深入解析 GitHub Token 与 NPM Token:自动化发布的完整指南

我们在配置github自动化发布的时候,总会用到secrets.GITHUB_TOKEN和secrets.NPM_TOKEN,本文我们讲解下这两个变量的配置。

一、GitHub Token:自动化工作流的内置凭证

1.什么是 GITHUB_TOKEN?

根据官方文档,GitHub 在每个工作流作业开始时​​自动创建​​唯一的 GITHUB_TOKEN:

  • 它是 GitHub App 安装访问令牌
  • 权限仅限于当前仓库
  • 令牌在作业结束时或最多 24 小时后过期
  • 通过 ${{ secrets.GITHUB_TOKEN }} 引用

2.关键特性

  • 自动创建:无需手动生成,开箱即用
  • 权限受限:默认权限取决于仓库设置
  • 安全隔离:令牌权限仅限于当前仓库
  • 自动过期:最大生命周期 24 小时

3.使用

使用时,需要在项目的 Settings - Actions - General 当中,勾选Read and write permissions

二、NPM Token:包发布的专用凭证

1.登录 npm 账户​​

访问 npmjs.com 并登录

2.​​生成访问令牌

  • 点击右上角头像 → Access Tokens
  • 点击 "Generate New Token"
  • 创建的时候选择"Automation"



3.保存并使用

  • 复制生成的 Token(格式:npm_xxxxxxxxxx)
  • 在 GitHub 仓库 Secrets 中添加为 NPM_TOKEN,位置如下图:

三、工作流中的最佳实践

1. 组合使用示例

yaml 复制代码
jobs:
  release:
    steps:
      - name: Publish Package
        run: npm publish
        env:
          NODE_AUTH_TOKEN: ${{ secrets.NPM_TOKEN }}

2. 安全增强策略

​​最小权限原则​​:
yaml 复制代码
permissions:
  contents: write
  packages: write
定期轮换
  • NPM Token 每 3 个月更新一次
  • 删除未使用的历史 Token
​​审计监控
bash 复制代码
# 检查 NPM Token 列表
npm token list

# 检查 GitHub 审计日志
https://github.com/settings/security-log
相关推荐
鱼鱼说测试10 小时前
Selenium+python自动化1-环境搭建
python·selenium·自动化
llm20090910 小时前
UI自动化框架之Selenium八大元素定位(二)
selenium·ui·自动化
zzywxc78710 小时前
AI 开发工具全景指南:从编码辅助到模型部署的全流程实践
大数据·人工智能·低代码·机器学习·golang·自动化·ai编程
Brian Xia11 小时前
Social-Auto-Upload - 多平台社交媒体视频自动化上传工具
自动化·音视频·媒体
京东零售技术13 小时前
京东正式开源基于国产芯片自研的xLLM大模型推理引擎
github
寻月隐君14 小时前
Rust 泛型编程基石:AsRef 和 AsMut 的核心作用与实战应用
后端·github
守城小轩14 小时前
基于Chrome140的FB账号自动化——脚本撰写(二)
自动化·facebook·浏览器自动化·浏览器rpa
ayyyy____15 小时前
把项目通过pycharm上传到github(两种方式)
ide·pycharm·github
专注VB编程开发20年15 小时前
vb.net编写DDE(Dynamic Data Exchange)服务器
运维·服务器·github·vb.net·dde
qq_3775727715 小时前
github repository 一个文件忘记添加到 .gitignore
github