具有对私有存储库只读访问权限的GitHub访问令牌

我能想到最简单的方法来创建一个可读取私有代码库的令牌是：

1. 使用只有读取指定私有代码库访问权限的用户（最好没有其他权限）
2. 以该用户身份创建具有“repo”范围的个人访问令牌

最好不要给予该用户对其他机构/代码库的访问权限，因为“repo”范围会授予该用户对其拥有写入访问权限的所有代码库的完全控制权。 在企业解决方案中，我们可能会使用System ID进行此操作，但在GitHub上，您可以创建一个“Machine User”。参考：Machine User。

部署密钥是最好的选择。默认情况下，它们不允许写入访问，并且它们仅限于特定存储库（与GitHub个人访问令牌不同）。因此，您现在可以生成私钥/公钥对，在GitHub的单个存储库上设置一个只读取/提取的部署密钥，然后在您的CI中使用私钥。

例如运行一个bash脚本：

eval "$(ssh-agent -s)";
ssh-add <your private deploy key>;

现在您的 CI 在构建过程中可以访问私有仓库。

您可以前往 Github 上的存储库，然后点击 Settings > Deploy keys > Add deploy key 添加部署密钥。

如果你认为在源代码中放置凭据是一个糟糕的主意（正如你应该这样做！），那么你有以下几个选择：

1. 将其存储在私有GitHub存储库中，但将其他数十个人作为此存储库的协作者添加到其中（只具有只读访问权限）。
2. 将其存储在私有GitHub存储库中，但作为组织拥有，并将这些人添加到组织中。
3. 发布为私有npm模块。
4. 在私有npm注册表中发布。
5. 在需要它的程序的源代码中包含依赖项。

最后一种方法基本上就像在使用该模块的原始代码中包含node_modules，所以当然不美观。托管自己的npm注册表并不容易，但您可以通过这种方式自动添加用户。发布私有npm模块是不免费的。维护一个组织，其中充满了应该能够访问您的存储库的人，是很麻烦的。
请记住一件事：如果您与多个人共享凭据，则每个人最终都将有权访问，这只是时间问题。这些凭据可能具有有限的范围，例如只读部署密钥或受限制访问权限的机器用户，但如果它被分发，它最终会泄漏，特别是当您与数十个人分享时。最好保留可以访问代码的人员列表，并可以使用GitHub API自动更新该列表。
我永远不会建议在项目的源代码中分发凭据，无论这些凭据提供了多么有限的访问权限。

没有私有仓库只读访问权限的范围是很丑陋的。

我的建议是创建一个新的令牌，即使是带有读写权限的临时令牌。然后拉取/获取更改并直接删除令牌。

显然，GitHub听到了大家的声音，并添加了一个名为“Fine-Grained Tokens”的新测试功能！
请前往设置/开发者设置/个人访问令牌/精细令牌，创建一个适用于个人API使用和通过HTTPS使用Git的，以存储库为范围的精细令牌。
更多信息请参见：https://github.blog/2022-10-18-introducing-fine-grained-personal-access-tokens-for-github/。