Skip to main content

Erstellen eines persönlichen Zugriffstokens

Du kannst ein personal access token erstellen, das anstelle eines Kennworts mit der Befehlszeile oder der API verwendet wird.

Warnung: Behandle deine Zugriffstoken wie Kennwörter.

Um über die Befehlszeile auf GitHub zuzugreifen, solltest du GitHub CLI oder Git Credential Manager verwenden, anstatt ein personal access token zu erstellen.

Wenn du ein personal access token in einem Skript verwendest, solltest du dein Token als Geheimnis speichern und das Skript über GitHub Actions ausführen. Weitere Informationen findest du unter Verschlüsselte Geheimnisse.Du kannst dein Token auch als Codespaces-Geheimnis speichern und dein Skript in Codespaces ausführen. Weitere Informationen findest du unter Verwalten verschlüsselter Geheimnisse für deine Codespaces.

Wenn diese Optionen nicht verfügbar sind, solltest du einen anderen Dienst wie zum Beispiel die 1Password CLI nutzen, um dein Token sicher zu speichern.

Informationen zu personal access token

Personal access token sind eine Alternative zur Verwendung von Kennwörtern für die Authentifizierung bei GitHub über die GitHub-API oder die Befehlszeile. Personal access token sind für den Zugriff auf GitHub-Ressourcen in deinem Namen vorgesehen. Für den Zugriff auf Ressourcen im Auftrag einer Organisation oder für langfristige Integrationen sollte eine GitHub App verwendet werden. Weitere Informationen findest du unter Informationen zu Apps.

GitHub unterstützt derzeit zwei Arten von personal access token: fine-grained personal access token und personal access tokens (classic). GitHub empfiehlt, nach Möglichkeit fine-grained personal access token anstelle von personal access tokens (classic) zu verwenden. Fine-grained personal access token hat gegenüber personal access tokens (classic) einige Sicherheitsvorteile:

  • Jedes Token kann nur auf Ressourcen zugreifen, die einem oder einer einzelnen Benutzer*in oder einer Organisation gehören.
  • Jedes Token kann nur auf bestimmte Repositorys zugreifen.
  • Jedes Token erhält bestimmte Berechtigungen, die mehr Kontrolle bieten als die Berechtigungen, die personal access tokens (classic) erteilt werden.
  • Jedes Token muss über ein Ablaufdatum verfügen.
  • Organisationsinhaber*innen können die Genehmigung für alle fine-grained personal access token erzwingen, die auf Ressourcen in der Organisation zugreifen können.

Darüber hinaus können Organisationsinhaber*innen den Zugriff auf personal access token (classic) auf ihre Organisation beschränken.

Hinweis: Derzeit funktionieren einige Features nur mit personal access tokens (classic):

  • Nur personal access tokens (classic) verfügen über Schreibzugriff für öffentliche Repositorys, die nicht dir gehören oder sich im Besitz einer Organisation befinden, der du nicht angehörst.
  • Externe Mitwirkende können nur personal access tokens (classic) verwenden, um auf Organisationsrepositorys zuzugreifen, an denen sie mitwirken.
  • Die folgenden APIs unterstützen nur personal access tokens (classic). Eine Liste der REST-API-Vorgänge, die für fine-grained personal access token unterstützt werden, findest du unter Verfügbare Endpunkte für fine-grained personal access tokens.
    • GraphQL-API
    • REST-API zum Verwalten von Quellimporten
    • REST-API zum Verwalten von Projects (classic)
    • REST-API zum Verwalten von GitHub Packages
    • REST-API zum Verwalten von Benachrichtigungen
    • REST-API zum Übertragen eines Repositorys
    • REST-API zum Erstellen eines Repositorys aus einer Vorlage
    • REST-API zum Erstellen eines Repositorys für den authentifizierten Benutzer

Als Sicherheitsmaßnahme entfernt GitHub automatisch ein personal access token, das seit einem Jahr nicht verwendet wurde. Um die Sicherheit weiter zu verstärken, empfiehlt es sich, ein personal access token mit einem Ablaufdatum zu versehen.

Erstellen eines fine-grained personal access token

Hinweis: Fine-grained personal access token befinden sich derzeit in der Betaphase, Änderungen vorbehalten. Informationen zum Hinterlassen von Feedback findest du in der Feedbackdiskussion.

  1. Verifiziere deine E-Mail-Adresse, falls du das noch nicht getan hast. 1. Klicken Sie auf einer beliebigen Seite in der oberen rechten Ecke auf Ihr Profilfoto und anschließend auf Einstellungen.

    Symbol „Settings" (Einstellungen) auf der Benutzerleiste

  2. Klicke in der linken Seitenleiste auf Entwicklereinstellungen.

  3. Klicke in der linken Randleiste unter Personal access token auf Differenzierte Token.

  4. Klicken Sie auf Neues Token generieren.

  5. Gib optional unter Tokenname einen Namen für das Token ein.

  6. Wählen unter Ablauf ein Ablaufdatum für das Token aus.

  7. Füge optional unter Beschreibung eine Notiz hinzu, um den Zweck des Token zu beschreiben.

  8. Wähle unter Ressourcenbesitzer einen Ressourcenbesitzerin aus. Das Token kann nur auf Ressourcen zugreifen, die dem oder der ausgewählten Ressourcenbesitzer*in gehören. Organisationen, bei denen du Mitglied bist, werden nicht angezeigt, es sei denn, die Organisation hat fine-grained personal access token aktiviert. Weitere Informationen findest du unter Festlegen einer personal access token-Richtlinie für deine Organisation.

  9. Wenn der Ressourcenbesitzer eine Organisation ist, die eine Genehmigung für fine-grained personal access token vorschreibt, gib optional im Feld unter „Ressourcenbesitzer“ eine Begründung für die Anforderung ein.

  10. Wähle unter Repositoryzugriff die gewünschten Repositorys aus, auf die das Token zugreifen soll. Du solltest nur den mindestens erforderlichen Repositoryzugriff für deine Zwecke auswählen. Token haben immer schreibgeschützten Zugriff auf alle öffentlichen Repositorys auf GitHub.

  11. Wenn du Nur ausgewählte Repositorys im vorherigen Schritt ausgewählt hast, wähle im Dropdownmenü Ausgewählte Repositorys die Repositorys aus, auf die du zugreifen möchtest.

  12. Wähle unter Berechtigungen aus, welche Berechtigungen dem Token erteilt werden sollen. Je nachdem, welchen Ressourcenbesitzerin und welchen Repositoryzugriff du angegeben hast, gibt es Repository-, Organisations- und Kontoberechtigungen. Du solltest nur die mindestens erforderlichen Berechtigungen für deine Zwecke auswählen. Weitere Informationen dazu, welche Berechtigungen für die unterschiedlichen REST-API-Vorgänge erforderlich sind, findest du unter Erforderliche Berechtigungen für fine-grained personal access token.

  13. Klicke dann auf Token generieren.

Wenn du eine Organisation als Ressourcenbesitzer ausgewählt hast und die Organisation eine Genehmigung für fine-grained personal access token vorschreibt, wird dein Token bis zur Überprüfung durch einen Organisationsadministratorin mit pending gekennzeichnet. Bis zur Genehmigung kann dein Token nur öffentliche Ressourcen lesen. Wenn du eine Inhaberin der Organisation bist, wird deine Anforderung automatisch genehmigt. Weitere Informationen findest du unter Überprüfen und Widerrufen von personal access token in deiner Organisation.

Erstellen eines personal access token (classic)

Hinweis: Organisationsinhaber*innen können den Zugriff auf personal access token (classic) auf ihre Organisation beschränken. Wenn du versuchst, ein personal access token (classic) für den Zugriff auf Ressourcen in einer Organisation zu verwenden, die den Zugriff mit personal access token (classic) deaktiviert hat, wird bei deiner Anforderung die Fehlermeldung 403 angezeigt. Du musst stattdessen eine GitHub App, OAuth App oder ein fine-grained personal access token verwenden.

Hinweis: Dein personal access token (classic) kann auf alle Repositorys zugreifen, auf die du Zugriff hast. GitHub empfiehlt, stattdessen nach Möglichkeit fine-grained personal access token zu verwenden. Diese können auf bestimmte Repositorys beschränkt werden. Fine-grained personal access token ermöglichen es dir auch, präzise Berechtigungen anstelle eines allgemeinen Spektrums anzugeben.

  1. Verifiziere deine E-Mail-Adresse, falls du das noch nicht getan hast. 1. Klicken Sie auf einer beliebigen Seite in der oberen rechten Ecke auf Ihr Profilfoto und anschließend auf Einstellungen.

    Symbol „Settings" (Einstellungen) auf der Benutzerleiste

  2. Klicke in der linken Seitenleiste auf Entwicklereinstellungen.

  3. Klicke in der linken Randleiste unter Personal access token auf Token (klassisch) . 1. Wähle Neues Token generieren aus, und klicke dann auf Neues Token generieren (klassisch) .

  4. Gib dem Token einen beschreibenden Namen. Feld „Tokenbeschreibung“

  5. Wenn du für dein Token eine Ablaufzeit festlegen möchtest, wähle das Dropdownmenü Ablauf aus, und klicke dann auf eine Standardeinstellung, oder verwende die Kalenderauswahl. Feld „Tokenablauf“

  6. Wähle die Berechtigungen aus, die du diesem Token erteilen möchtest. Um das Token für den Zugriff auf Repositorys über die Befehlszeile zu verwenden, wähle Repository aus. Ein Token ohne zugewiesene Bereiche kann nur auf öffentliche Informationen zugreifen. Weitere Informationen findest du unter Verfügbare Bereiche. Auswählen von Tokenbereichen

  7. Klicke dann auf Token generieren. Schaltfläche „Token generieren“ Neu erstelltes Token

  8. Um dein Token für den Zugriff auf Ressourcen im Besitz einer Organisation zu verwenden, die SAML Single Sign-On nutzt, autorisiere das Token. Weitere Informationen findest du unter Autorisieren eines personal access token für die Verwendung mit SAML Single Sign-On in der GitHub Enterprise Cloud-Dokumentation.

Ein Token in der Befehlszeile verwenden

Sobald Du über ein Token verfügst, kannst Du es anstelle Deines Passworts eingeben, wenn Du Git-Vorgänge über HTTPS durchführst.

So würdest Du beispielsweise Folgendes an der Befehlszeile eingeben:

$ git clone https://github.com/USERNAME/REPO.git
Username: YOUR_USERNAME
Password: YOUR_TOKEN

Personal access token können nur für Git-Vorgänge mit HTTPS verwendet werden. Wenn dein Repository eine SSH-Remote-URL verwendet, musst du das Remoterepository von SSH auf HTTPS umstellen.

Wenn du nicht nach einem Benutzernamen und einem Passwort gefragt wirst, wurden deine Anmeldeinformationen möglicherweise auf deinem Computer zwischengespeichert. Du kannst deine Anmeldeinformationen in der Keychain aktualisieren, um das alte Kennwort durch das Token zu ersetzen.

Statt dein personal access token manuell bei jedem Git-Vorgang mit HTTPS einzugeben, kannst du dein personal access token bei einem Git-Client zwischenspeichern. Git speichert deine Anmeldeinformationen vorübergehend im Arbeitsspeicher, bis ein Ablaufintervall abgelaufen ist. Du kannst das Token auch in einer Nur-Textdatei speichern, die Git vor jeder Anforderung lesen kann. Weitere Informationen findest du unter Zwischenspeichern deiner GitHub-Anmeldeinformationen in Git.

Weitere Informationsquellen