Tokenexpirierung und Widerruf

Ihre Token können ablaufen und auch von Ihnen, von Ihnen autorisierten Anwendungen und von GitHub selbst widerrufen werden.

In diesem Artikel

Wenn ein Token abgelaufen ist oder widerrufen wurde, kann es nicht mehr verwendet werden, um Git- und API-Anforderungen zu authentifizieren. Es ist nicht möglich, ein abgelaufenes oder widerrufenes Token wiederherzustellen. Es muss ein neues Token durch dich oder die Anwendung erstellt werden.

In diesem Artikel werden die möglichen Gründe erläutert, warum Ihr GitHub Token widerrufen oder ablaufen kann.

Hinweis

Wenn ein personal access token-, OAuth app- oder GitHub App-Token abläuft oder widerrufen wird, wird in Ihrem Sicherheitsprotokoll möglicherweise die Aktion oauth_authorization.destroy angezeigt. Weitere Informationen finden Sie unter Sicherheitsprotokoll überprüfen.

Token widerrufen, nachdem das Ablaufdatum erreicht wurde

Wenn Sie ein personal access token erstellen, empfehlen wir Ihnen, ein Ablaufdatum für Ihr Token festzulegen. Beim Erreichen des Ablaufdatums wird das Token automatisch widerrufen. Weitere Informationen finden Sie unter Verwalten deiner persönlichen Zugriffstoken.

Token widerrufen, wenn in ein öffentliches Repository oder einen öffentlichen Gist gepusht

Wenn ein gültiges OAuth-Token, GitHub App Token oder personal access token in ein öffentliches Repository oder einen öffentlichen Gist übertragen wird, wird das Token automatisch ungültig gemacht.

Token ist wegen fehlender Nutzung abgelaufen

GitHub widerruft automatisch ein OAuth-Token oder personal access token, wenn das Token ein Jahr lang nicht verwendet wurde.

Vom Benutzer widerrufenes Token

Sie können die Autorisierung für eine GitHub App oder OAuth app in Ihren Kontoeinstellungen widerrufen; dadurch werden alle mit der App verknüpften Token ungültig gemacht. Weitere Informationen findest du unter Überprüfen und Widerrufen der Autorisierung von GitHub Apps und Überprüfen der autorisierten OAuth-Apps.

Sobald eine Autorisierung widerrufen wurde, werden auch alle Token, die der Autorisierung zugeordnet sind, widerrufen. Um eine Anwendung erneut zu autorisieren, befolgen Sie die Anweisungen aus der Anwendung oder Website des Drittanbieters, um Ihr Konto GitHub erneut zu verbinden.

Sie können auch alle Ihre Anmeldeinformationen gleichzeitig aus den Kontoeinstellungen widerrufen. Dies ist nützlich, wenn Sie glauben, dass Ihr Konto kompromittiert wird oder Ihre Hardware verloren geht oder gestohlen wurde. Weitere Informationen finden Sie unter Ihre Anmeldedaten widerrufen.

Von Drittanbieter widerrufenes Token

Um nicht autorisierten Zugriff mithilfe von verfügbar gemachten Token zu verhindern, GitHub empfiehlt die Tokensperrung, um sicherzustellen, dass ein Token nicht mehr für die Authentifizierung GitHubverwendet werden kann. Die Widerrufs-API für Berechtigungen unterstützt das Widerrufen der folgenden Tokentypen:

  • Personal access tokens (classic) mit dem ghp_ Präfix
  • Fine-grained personal access tokens mit dem github_pat_ Präfix
  • OAuth app Token mit dem gho_ Präfix
  • GitHub App Benutzer-zu-Server-Token mit dem ghu_ Präfix
  • GitHub App Refresh-Token mit dem ghr_ Präfix

Wenn Sie feststellen, dass eines dieser Token auf GitHub oder anderswo offengelegt wurde, können Sie über die REST-API eine Widerrufsanfrage einreichen. Die vollständige und autorisierende Liste der unterstützten Tokentypen finden Sie unter Widerruf .

Wenn ein gültiges Token bei GitHub der API zum Widerruf von Anmeldeinformationen eingereicht wird, wird das Token automatisch widerrufen. Diese API ermöglicht es einem Drittanbieter, ein Token zu widerrufen, das er nicht besitzt, und hilft, die mit diesem Token verbundenen Daten vor unbefugtem Zugriff zu schützen, wodurch die Auswirkungen von offengelegten Token begrenzt werden.

Um Berichte zu erleichtern und sicherzustellen, dass offengelegte Token schnell und einfach widerrufen werden können, benötigen wir keine Authentifizierung für die über die API übermittelten Widerrufsanforderungen. GitHub Daher können keine weiteren Informationen zur Quelle des gemeldeten Tokens bereitgestellt werden.

Token widerrufen durch den OAuth app

Der Besitzer eines OAuth app Kontos kann die Autorisierung seiner App widerrufen. Dadurch werden auch alle Token widerrufen, die der Autorisierung zugeordnet sind. Weitere Informationen zum Widerrufen der Autorisierungen für Ihr OAuth app finden Sie unter REST-API-Endpunkte für OAuth-Autorisierungen.

OAuth app Besitzer können auch einzelne Token widerrufen, die einer Autorisierung zugeordnet sind. Weitere Informationen zum Widerrufen einzelner Token für Ihr OAuth appfinden Sie unter REST-API-Endpunkte für OAuth-Autorisierungen.

Token aufgrund einer zu hohen Anzahl von Tokens für ein OAuth app mit demselben Geltungsbereich widerrufen

Es gibt eine Obergrenze von zehn Token, die pro Nutzer/Anwendung/Geltungsbereich-Kombination ausgegeben werden, und eine Ratebegrenzung von zehn Token, die pro Stunde erstellt werden. Wenn eine Anwendung mehr als zehn Token für denselben Benutzer und dieselben Bereiche erstellt, werden die ältesten Token mit derselben Kombination aus Benutzer, Anwendung und Bereich entzogen. Das Erreichen der Stundensatzgrenze führt jedoch nicht zum Entzug des ältesten Tokens. Stattdessen wird eine Aufforderung zur erneuten Autorisierung im Browser ausgelöst, und der Benutzer wird aufgefordert, die der App gewährten Berechtigungen zu überprüfen. Diese Aufforderung soll eine potenzielle Endlosschleife unterbrechen, in der die App steckt, denn es gibt kaum oder überhaupt keinen Grund für eine App, vom Benutzer innerhalb einer Stunde zehn Token anzufordern.

Benutzertoken ist aufgrund der GitHub App Konfiguration abgelaufen

Benutzerzugriffstoken, die von einem GitHub App erstellt wurden, laufen standardmäßig nach acht Stunden ab und müssen dann mithilfe des enthaltenen Aktualisierungstokens neu generiert werden. Besitzer von GitHub Apps können diese Token optional so konfigurieren, dass sie alternativ nie ablaufen; dies wird jedoch aufgrund der damit verbundenen Sicherheitsrisiken nicht empfohlen. Weitere Informationen zum Konfigurieren der GitHub AppBenutzerzugriffstoken finden Sie unter Aktivieren optionaler Features für GitHub Apps.

Von den Inhabern des Unternehmens widerrufenes Token

Unternehmensbesitzer GitHub Enterprise Cloud können SSO-Autorisierungen widerrufen oder Anmeldeinformationen für einzelne Benutzer oder massenweise löschen, wenn sie auf Sicherheitsvorfälle reagieren. Der Widerruf von SSO-Autorisierungen hebt den Zugriff auf SSO-geschützte Organisationsressourcen auf, während das Löschen von Anmeldeinformationen (nur für Enterprise Managed Users verfügbar) die Anmeldeinformationen vollständig entfernt.

Weitere Informationen finden Sie unter Widerrufen von SSO-Autorisierungen oder Löschen von Anmeldeinformationen in Ihrem Unternehmen.