Cuando un token ha expirado o se ha revocado, ya no se puede usar para autenticar solicitudes de Git y de API. No es posible restablecer un token revocado o vencido, ya seas tú o la aplicación necesitarán crear un token nuevo.
Este artículo te explica las posibles razones por las cuales tu token de GitHub podría revocarse o vencer.
Nota:
Cuando un personal access token o de OAuth expira o se revoca, es posible que veas una acción oauth_authorization.destroy en el registro de seguridad. Para más información, consulta Revisar tu registro de seguridad.
El token se revocó después de llegar a su fecha de vencimiento
Cuando creas un personal access token, te recomendamos que configures una fecha de vencimiento para este. Al alcanzar la fecha de vencimiento de tu token, este se revocará automáticamente. Para más información, consulta Administración de tokens de acceso personal.
El token se revocó cuando se subió a un repositorio o gist público
Si un token de OAuth, un token de GitHub App o un personal access token válido se sube a un repositorio o gist público, este se revocará automáticamente.
El token venció debido a la falta de uso
GitHub revocará el token de OAuth o el personal access token automáticamente cuando no se haya utilizado en un año.
El usuario revocó el token
Puedes revocar tu autorización de una GitHub App o OAuth app desde tus ajustes de cuenta, lo cual revocará cualquier token asociado con la app. Para más información, consulta Revisión y revocación de autorización de aplicaciones de GitHub y Revisión de las aplicaciones autorizadas de OAuth.
Una vez que se revoca una autorización, cualquier token asociado con la autorización también se revocará. Para volver a autorizar una aplicación, siga las instrucciones de la aplicación de terceros o sitio web para conectarse nuevamente a la cuenta de GitHub again.
Token revocado por un tercero
Para evitar el acceso no autorizado mediante tokens expuestos, GitHub recomienda la revocación de tokens para asegurarse de que un token ya no se puede usar para autenticarse en GitHub. Si encuentras personal access token de otro usuario filtrado en GitHub o en otro lugar, puedes enviar una solicitud de revocación a través de la API de REST. Consulta Revocación.
Si se envía un personal access token válido a la API de revocación de credenciales de GitHub, el token se revocará automáticamente. Esta API permite a un tercero revocar un token que no poseen y ayuda a proteger los datos asociados a este token de acceso no autorizado, lo que limita el impacto de los tokens expuestos.
Para fomentar las denuncias y asegurarse de que los tokens expuestos se pueden revocar de forma rápida y sencilla, no se requiere autenticación para las solicitudes de revocación enviadas a través de la API. Como resultado, GitHub no puede proporcionar más información sobre el origen del token notificado.
La OAuth app revocó el token
El propietario de una OAuth app puede revocar una autorización de su app en una cuenta, esto también revocará cualquier token asociado con esa autorización. Para más información sobre la revocación de autorizaciones de una OAuth app, consulta Puntos de conexión de la API de REST para las autorizaciones de OAuth.
Los propietarios de OAuth app también pueden revocar tokens individuales asociados a una autorización. Para más información sobre la revocación de tokens individuales de una OAuth app, consulta Puntos de conexión de la API de REST para las autorizaciones de OAuth.
El token se revocó debido a un exceso de tokens para una OAuth app con el mismo alcance
Hay un límite de diez tokens que se emiten por combinación de usuario/aplicación/ámbito y un límite de frecuencia de diez tokens creados por hora. Si una aplicación crea más de diez tokens para el mismo usuario y los mismos alcances, se revocarán los tokens más antiguos con la misma combinación de usuario/aplicación/alcance. Sin embargo, alcanzar el límite de volumen por hora no revocará el token más antiguo. En su lugar, desencadenará una solicitud de nueva autorización en el explorador, y se pedirá al usuario que compruebe los permisos que concede a la aplicación. Este mensaje está pensado interrumpir cualquier bucle infinito posible en el que la aplicación está atrapada, ya que hay pocos o ningún motivo para que una aplicación solicite diez tokens al usuario en un plazo de una hora.
El token de usuario ha expirado debido a la configuración de la GitHub App.
Los tokens de acceso de usuario que ha creado una GitHub App expirarán después de ocho horas de manera predeterminada y, después, se deben volver a generar mediante el token de actualización incluido. Los propietarios de GitHub Apps pueden configurar opcionalmente estos tokens para que nunca expiren, pero esta opción no se recomienda debido a las implicaciones de seguridad. Para obtener más información sobre cómo configurar los tokens de acceso de usuario de la aplicación de GitHub App, consulta Activación de características opcionales para Aplicaciones de GitHub.