Skip to main content

Étendues des applications OAuth

Les étendues vous permettent de spécifier exactement le type d’accès dont vous avez besoin. Les étendues limitent l’accès des jetons OAuth. Elles n’accordent pas d’autorisation supplémentaire au-delà de celle que l’utilisateur a déjà.

Remarque : envisagez de créer une GitHub App à la place d’une OAuth app. Les GitHub Apps utilisent des autorisations de granularité fine à la place des étendues, ce qui vous permet de mieux contrôler ce que votre application est en mesure de faire. Pour plus d’informations, consultez « Différences entre les applications GitHub et les applications OAuth » et « À propos de la création d’applications GitHub ».

Durant la configuration d’une OAuth app sur GitHub, l’utilisateur voit s’afficher les étendues demandées dans le formulaire d’autorisation.

Remarque : Si vous créez une application GitHub, vous n’avez pas besoin de fournir d’étendues dans votre demande d’autorisation. Pour plus d’informations à ce sujet, consultez « Authentification auprès d’une application GitHub pour le compte d’un utilisateur ».

Si votre OAuth app n’a pas accès à un navigateur (dans le cas d’un outil CLI, par exemple), vous n’avez pas besoin de spécifier d’étendue pour permettre aux utilisateurs de s’authentifier auprès de votre application. Pour plus d’informations, consultez « Autorisation des applications OAuth ».

Vérifiez les en-têtes pour voir vos étendues OAuth et ce qui est accepté par l’action d’API :

$ curl -H "Authorization: Bearer OAUTH-TOKEN" https://api.github.com/users/codertocat -I
HTTP/2 200
X-OAuth-Scopes: repo, user
X-Accepted-OAuth-Scopes: user
  • X-OAuth-Scopes liste les étendues autorisées par votre jeton.
  • X-Accepted-OAuth-Scopes liste les étendues vérifiées par l’action.

Étendues disponibles

NomDescription
(no scope)Octroie l’accès en lecture seule aux informations publiques (notamment les informations de profil utilisateur, les informations de dépôt et les gists) repo
repo:statusOctroie l’accès en lecture/écriture aux états de commit dans les dépôts publics et privés. Cette étendue est nécessaire uniquement pour octroyer à d’autres utilisateurs ou services l’accès aux états de commit des dépôts privés sans octroyer l’accès au code.
repo_deploymentOctroie l’accès aux états de déploiement pour les dépôts publics et privés. Cette étendue est nécessaire uniquement pour octroyer à d’autres utilisateurs ou services l’accès aux états de déploiement, sans octroyer l’accès au code.
public_repoLimite l’accès aux dépôts publics. Cela inclut l’accès en lecture/écriture au code, les états de commit, les projets de dépôt, les collaborateurs ainsi que les états de déploiement pour les dépôts publics et les organisations. Également nécessaire pour les dépôts publics favoris.  repo:invite
security_eventsOctroie :
Un accès en lecture et en écriture aux événements de sécurité dans l’API code scanning
Cette étendue est nécessaire uniquement pour octroyer à d’autres utilisateurs ou services l’accès aux événements de sécurité sans octroyer l’accès au code. admin:repo_hook
write:repo_hookOctroie l’accès en lecture, en écriture et en exécution de commande ping aux crochets dans les dépôts publics ou privés.
read:repo_hookOctroie l’accès en lecture et en exécution de commande ping aux crochets dans les dépôts publics ou privés.
admin:orgPermet de gérer complètement l’organisation ainsi que ses équipes, ses projets et ses appartenances.
write:orgPermet d’accéder en lecture et en écriture à l’appartenance à l’organisation, aux projets d’organisation et à l’appartenance à une équipe.
read:orgPermet d’accéder en lecture uniquement à l’appartenance à l’organisation, aux projets d’organisation et à l’appartenance à une équipe.
admin:public_keyPermet de gérer complètement les clés publiques.
write:public_keyPermet de créer, de lister et de voir les détails des clés publiques.
read:public_keyPermet de lister et de voir les détails des clés publiques.
admin:org_hookOctroie l’accès en lecture, en écriture, en exécution de commande ping et en suppression aux crochets d’organisation. Remarque : Les jetons OAuth ne peuvent effectuer ces actions que sur les crochets d’organisation créés par l’OAuth app. Les Personal access token ne peuvent effectuer ces actions que sur les crochets d’organisation créés par un utilisateur.
gistOctroie l’accès en écriture aux Gists.
notificationsOctroie :
Un accès en lecture aux notifications d’un utilisateur
Un accès au marquage des threads comme étant lus
Un accès à l’activation et à la désactivation de la surveillance d’un référentiel
Un accès en lecture, en écriture et en suppression aux abonnements aux threads
userOctroie l’accès en lecture/écriture aux informations de profil uniquement. Notez que cette étendue comprend user:email et user:follow.
read:userOctroie l’accès en lecture aux données de profil d’un utilisateur.
user:emailOctroie l’accès en lecture aux adresses e-mail d’un utilisateur.
user:followOctroie l’accès pour suivre ou ne plus suivre d’autres utilisateurs.
projectOctroie l’accès en lecture/écriture aux projects d’utilisateur et d’organisation.
read:projectOctroie un accès en lecture seule à l’utilisateur et à l’organisation projects. delete_repo
read:packagesOctroie l’accès au téléchargement et à l’installation de packages à partir de GitHub Packages. Pour plus d’informations, consultez « Installation d’un package ».
delete:packagesOctroie l’accès à la suppression de packages à partir de GitHub Packages. Pour plus d’informations, consultez « Suppression et restauration d’un package ».
admin:gpg_keyGérez complètement les clés GPG.
write:gpg_keyPermet de créer, lister et voir les détails des clés GPG.
read:gpg_keyPermet de lister et de voir les détails des clés GPG.
codespacePermet de créer et de gérer des codespaces. Les codespaces peuvent exposer un GITHUB_TOKEN qui peut avoir un ensemble différent d’étendues. Pour plus d’informations, consultez « Sécurité dans GitHub Codespaces ». workflow

Remarque : Votre OAuth app. peut demander les étendues dans la redirection initiale. Vous pouvez spécifier plusieurs étendues en les séparant par un espace à l’aide de %20 :

https://github.com/login/oauth/authorize?
  client_id=...&
  scope=user%20repo_deployment

Étendues demandées et étendues octroyées

L’attribut scope liste les étendues attachées au jeton qui ont été octroyées par l’utilisateur. Normalement, ces étendues sont identiques à ce que vous avez demandé. Toutefois, les utilisateurs peuvent modifier leurs étendues, ce qui permet d’octroyer à votre application moins d’accès que ce que vous avez demandé à l’origine. De plus, les utilisateurs peuvent modifier les étendues des jetons, une fois le flux OAuth effectué. Vous devez être conscient de cette éventualité, et en tenir compte pour ajuster le comportement de votre application.

Il est important de gérer les cas d’erreur où un utilisateur choisit de vous octroyer un accès inférieur à celui que vous avez demandé à l’origine. Par exemple, les applications peuvent avertir les utilisateurs, ou leur indiquer qu’ils seront confrontés à des fonctionnalités réduites ou qu’ils ne pourront pas effectuer certaines actions.

De plus, les applications peuvent toujours renvoyer les utilisateurs dans le flux pour obtenir des autorisations supplémentaires. Toutefois, n’oubliez pas que les utilisateurs peuvent toujours dire non.

Consultez le Guide des informations de base sur l’authentification, qui fournit des conseils sur la gestion des étendues de jeton modifiables.

Étendues normalisées

Quand vous demandez plusieurs étendues, le jeton est enregistré avec une liste normalisée d’étendues, en écartant celles qui sont implicitement incluses par une autre étendue demandée. Par exemple, si vous demandez user,gist,user:email, vous obtenez un jeton avec les étendues user et gist uniquement, car l’accès octroyé avec l’étendue user:email est inclus dans l’étendue user.