Skip to main content

Tokenablauf und Sperrung

Deine Token können ablaufen und auch von dir, Anwendungen, die du autorisiert hast, sowie GitHub selbst widerrufen werden.

Wenn ein Token abgelaufen ist oder widerrufen wurde, kann es nicht mehr verwendet werden, um Git- und API-Anforderungen zu authentifizieren. Es ist nicht möglich, ein abgelaufenes oder widerrufenes Token wiederherzustellen. Es muss ein neues Token durch dich oder die Anwendung erstellt werden.

In diesem Artikel werden die möglichen Gründe erläutert, warum deine GitHub-Token widerrufen wurden oder ablaufen.

Hinweis: Wenn ein personal access token oder OAuth-Token abläuft oder widerrufen wird, wird möglicherweise die Aktion oauth_authorization.destroy im Sicherheitsprotokoll angezeigt. Weitere Informationen findest du unter Sicherheitsprotokoll überprüfen.

Token widerrufen, nachdem das Ablaufdatum erreicht wurde

Wenn du ein personal access token erstellst, ist es ratsam, ein Ablaufdatum für das Token festzulegen. Beim Erreichen des Ablaufdatums wird das Token automatisch widerrufen. Weitere Informationen findest du unter Verwalten deiner persönlichen Zugriffstoken.

Token widerrufen, wenn in ein öffentliches Repository oder einen öffentlichen Gist gepusht

Wenn ein gültiges OAuth-Token, GitHub App-Token oder personal access token in ein öffentliches Repository oder einen öffentlichen Gist gepusht wird, wird das Token automatisch widerrufen.

Wegen mangelnder Verwendung abgelaufenes Token

GitHub widerruft automatisch ein OAuth-Token oder personal access token, wenn das Token ein Jahr lang nicht verwendet wurde.

Vom Benutzer widerrufenes Token

Du kannst die Autorisierung einer GitHub App oder OAuth app über deine Kontoeinstellungen widerrufen, wodurch alle Token widerrufen werden, die der App zugeordnet sind. Weitere Informationen findest du unter Überprüfen und Widerrufen der Autorisierung von GitHub-Apps und unter Überprüfen der autorisierten OAuth-Apps.

Sobald eine Autorisierung widerrufen wurde, werden auch alle Token, die der Autorisierung zugeordnet sind, widerrufen. Um eine Anwendung erneut zu autorisieren, befolgen Sie die Anweisungen aus der Anwendung oder Website von Drittanbietern, um Ihr Konto auf GitHub erneut zu verbinden.

Von der OAuth app widerrufenes Token

Der Besitzer einer OAuth app kann die Autorisierung eines Kontos ihrer App widerrufen, wodurch auch alle Token widerrufen werden, die der Autorisierung zugeordnet sind. Weitere Informationen zum Widerrufen der Autorisierungen deiner OAuth app findest du unter REST-API-Endpunkte für OAuth-Autorisierungen.

OAuth app-Besitzer können auch einzelne Token widerrufen, die einer Autorisierung zugeordnet sind. Weitere Informationen zum Widerrufen der Autorisierungen deiner OAuth app findest du unter „REST-API-Endpunkte für OAuth-Autorisierungen“.

Wegen Tokenüberschuss mit demselben Geltungsbereich für eine OAuth app widerrufenes Token

Es gibt eine Obergrenze von zehn Token, die pro Nutzer/Anwendung/Geltungsbereich-Kombination ausgegeben werden, und eine Ratebegrenzung von zehn Token, die pro Stunde erstellt werden. Wenn eine Anwendung mehr als zehn Token für denselben Benutzer und dieselben Bereiche erstellt, werden die ältesten Token mit derselben Kombination aus Benutzer, Anwendung und Bereich entzogen. Das Erreichen der Stundensatzgrenze führt jedoch nicht zum Entzug des ältesten Tokens. Stattdessen wird eine Aufforderung zur erneuten Autorisierung im Browser ausgelöst, und der Benutzer wird aufgefordert, die der App gewährten Berechtigungen zu überprüfen. Diese Aufforderung soll eine potenzielle Endlosschleife unterbrechen, in der die App steckt, denn es gibt kaum oder überhaupt keinen Grund für eine App, vom Benutzer innerhalb einer Stunde zehn Token anzufordern.

Benutzer-Token ist aufgrund der GitHub App Konfiguration abgelaufen

Benutzerzugriffstoken, die von einem GitHub App erstellt wurden, laufen standardmäßig nach acht Stunden ab und müssen dann mithilfe des enthaltenen Aktualisierungstokens neu generiert werden. Besitzer von GitHub Apps können diese Token optional so konfigurieren, dass sie nie ablaufen, dies wird jedoch aufgrund der Sicherheitsauswirkungen nicht empfohlen. Weitere Informationen zum Konfigurieren der Benutzerzugriffstoken für deine GitHub App, findest du unter Aktivieren optionaler Features für GitHub-Apps.