토큰 만료 및 해지

토큰은 만료될 수 있으며 사용자, 권한이 부여된 애플리케이션 및 GitHub 자체에 의해 해지될 수도 있습니다.

이 기사에서

토큰이 만료된 경우 또는 철회된 경우 더 이상 Git 및 API 요청을 인증하는 데 사용할 수 없습니다. 만료되거나 해지된 토큰을 복원할 수 없으므로 사용자 또는 애플리케이션이 새 토큰을 만들어야 합니다.

이 문서에서는 회원님의 GitHub 토큰이 해지되거나 만료될 수 있는 이유를 설명합니다.

참고

personal access token, OAuth app 토큰 또는 GitHub App 토큰이 만료되거나 해지되면 보안 로그에 oauth_authorization.destroy 작업이 표시될 수 있습니다. 자세한 내용은 보안 로그 검토을(를) 참조하세요.

만료 날짜에 도달한 후 토큰이 철회됨

personal access token를 생성할 때 토큰의 만료 기간을 설정하는 것이 좋습니다. 토큰의 만료 날짜에 도달하면 토큰이 자동으로 철회됩니다. 자세한 내용은 개인용 액세스 토큰 관리을(를) 참조하세요.

퍼블릭 리포지토리 또는 퍼블릭 gist로 푸시할 때 토큰이 철회됨

유효한 OAuth 토큰, GitHub App 토큰 또는 personal access token 공용 리포지토리 또는 공용 요지로 푸시되는 경우 토큰이 자동으로 해지됩니다.

사용되지 않아 토큰이 만료됨

GitHub 은 OAuth 토큰을 자동으로 해지하거나 personal access token 토큰이 1년 동안 사용되지 않은 경우를 반환합니다.

사용자가 철회한 토큰

계정 설정에서 GitHub App 또는 OAuth app에 대한 권한 부여를 취소할 수 있으며, 그러면 해당 앱과 연결된 모든 토큰이 취소됩니다. 자세한 내용은 GitHub 앱의 권한 부여 검토 및 해지권한 있는 OAuth 앱 검토을(를) 참조하세요.

권한 부여가 철회되면 권한 부여와 연결된 모든 토큰도 철회됩니다. 애플리케이션을 다시 인증하려면 타사 애플리케이션 또는 웹 사이트의 지침에 GitHub 따라 계정을 다시 연결합니다.

계정 설정에서 모든 자격 증명을 한 번에 해지할 수도 있습니다. 계정이 손상되었거나 하드웨어를 분실하거나 도난당한 경우 유용합니다. 자세한 내용은 자격 증명 해지을(를) 참조하세요.

타사에서 해지한 토큰

노출된 토큰을 사용하는 무단 액세스를 방지하려면 토큰을 인증하는 데 더 이상 사용할 GitHub수 없도록 토큰 해지를 권장합니다GitHub. 자격 증명 해지 API는 다음 토큰 형식의 해지를 지원합니다.

  • Personal access tokens (classic)접두사를 사용하여 ghp_
  • Fine-grained personal access tokens접두사를 사용하여 github_pat_
  • OAuth app 접두사를 사용하는 gho_ 토큰
  • GitHub App 접두사를 사용하는 ghu_ 사용자-서버 토큰
  • GitHub App 접두사를 사용하여 ghr_ 토큰 새로 고침

이러한 토큰이 GitHub 또는 다른 곳에서 유출된 것을 발견하면 REST API를 통해 폐기 요청을 제출할 수 있습니다. 지원되는 토큰 형식의 완전하고 신뢰할 수 있는 목록은 취소 을 참조하세요.

유효한 토큰이 '의 자격 증명 해지 API에 제출 GitHub되면 토큰이 자동으로 해지됩니다. 이 API를 사용하면 토큰 소유자가 아닌 타사에서도 해당 토큰을 해지할 수 있도록 하며, 이 토큰과 연결된 데이터를 무단 액세스로부터 보호하여 노출된 토큰의 영향을 제한하는 데 도움을 줍니다.

보고를 장려하고 노출된 토큰을 빠르고 쉽게 해지할 수 있도록 하기 위해, 해당 API를 통해 제출된 해지 요청에는 인증이 필요하지 않습니다. 따라서 GitHub 보고된 토큰의 원본에 대한 추가 정보를 제공할 수 없습니다.

OAuth app에 의해 해지된 토큰

소유자는 OAuth app 앱에 대한 계정의 권한 부여를 취소할 수 있으며, 권한 부여와 관련된 토큰도 해지합니다. OAuth app의 권한 부여를 취소하는 방법에 대한 자세한 내용은 OAuth 권한 부여에 대한 REST API 엔드포인트을 참조하세요.

OAuth app 소유자는 권한 부여와 연결된 개별 토큰을 해지할 수도 있습니다. 개별 토큰을 해지하는 방법에 대한 자세한 내용은 OAuth app을 참조하세요.

동일한 범위를 가진 토큰의 초과로 인해 토큰 OAuth app 이 해지됨

사용자/애플리케이션/범위 조합별로 발급되는 토큰은 10개로 제한되며, 시간당 만들어지는 트래픽률 제한은 10개입니다. 애플리케이션이 동일한 사용자 및 동일한 범위에 대해 10개 이상의 토큰을 만드는 경우 동일한 사용자/애플리케이션/범위 조합에서 가장 오래된 토큰이 철회됩니다. 그러나 시간당 트래픽률 제한에 도달하면 가장 오래된 토큰이 철회되지 않습니다. 대신 브라우저 내에서 다시 권한 부여 프롬프트를 트리거하여 사용자에게 앱에 부여하는 권한을 재확인하도록 요청합니다. 앱이 1시간 이내에 사용자로부터 10개의 토큰을 요청할 이유가 거의 없거나 전혀 없는 만큼, 이 프롬프트는 앱 작동 중단의 원인이 되는 잠재적인 무한 루프를 방지하기 위한 것입니다.

구성으로 인해 사용자 토큰이 GitHub App 만료됨

사용자가 만든 GitHub App 사용자 액세스 토큰은 기본적으로 8시간 후에 만료되며 포함된 새로 고침 토큰을 사용하여 다시 생성되어야 합니다. GitHub Apps 소유자는 필요에 따라 이러한 토큰이 만료되지 않도록 구성할 수 있지만 보안 영향으로 인해 권장되지 않습니다. 사용자의 사용자 액세스 토큰을 구성하는 방법에 대한 자세한 내용은 GitHub App을 참조하세요.

엔터프라이즈 소유자가 해지한 토큰

엔터프라이즈 소유자는 보안 인시던트에 GitHub Enterprise Cloud 응답할 때 SSO 권한 부여를 취소하거나 개별 사용자 또는 대량으로 자격 증명을 삭제할 수 있습니다. SSO 승인을 취소하면 SSO로 보호되는 조직 리소스에 대한 액세스 권한이 제거되고, 자격 증명 삭제(Enterprise Managed Users에만 사용 가능)는 자격 증명을 완전히 제거합니다.

자세한 내용은 엔터프라이즈에서 SSO 권한 부여 취소 또는 자격 증명 삭제을(를) 참조하세요.