Skip to main content

Création d’un jeton d’accès personnel

Vous pouvez créer un personal access token à utiliser à la place d’un mot de passe avec la ligne de commande ou à l’aide de l’API.

Avertissement : Considérez vos jetons d’accès comme des mots de passe.

Pour accéder à GitHub à partir de la ligne de commande, utilisez GitHub CLI ou le Gestionnaire d’informations d’identification Git au lieu de créer un personal access token.

Quand vous utilisez un personal access token dans un script, stockez votre jeton en tant que secret, et exécutez votre script via GitHub Actions. Pour plus d’informations, consultez « Secrets chiffrés ». Vous pouvez également stocker votre jeton en tant que secret Codespaces, et exécuter votre script dans Codespaces. Pour plus d’informations, consultez « Gestion des secrets chiffrés pour vos codespaces ».

Si ces options ne sont pas possibles, envisagez d’utiliser un autre service comme l’interface CLI 1Password pour stocker votre jeton de manière sécurisée.

À propos des personal access token

Les Personal access token représentent une alternative à l’utilisation de mots de passe pour l’authentification auprès de GitHub durant l’utilisation de l’API GitHub ou de la ligne de commande. Les Personal access token permettent l’accès aux ressources GitHub en votre nom. Pour permettre l’accès aux ressources au nom d’une organisation ou dans le cadre d’intégrations de longue durée, vous devez utiliser une GitHub App. Pour plus d’informations, consultez « À propos des applications ».

GitHub prend en charge deux types de personal access token : les fine-grained personal access token et les personal access tokens (classic). GitHub vous recommande d’utiliser des fine-grained personal access token à la place de personal access tokens (classic) autant que possible. Les Fine-grained personal access token présentent plusieurs avantages au niveau de la sécurité par rapport aux personal access tokens (classic) :

  • Chaque jeton ne peut accéder qu’aux ressources appartenant à un seul utilisateur ou une seule organisation.
  • Chaque jeton peut uniquement accéder à des dépôts spécifiques.
  • Chaque jeton se voit octroyer des autorisations spécifiques, qui offrent plus de contrôle que les étendues octroyées aux personal access tokens (classic).
  • Chaque jeton doit avoir une date d’expiration.
  • Les propriétaires d’organisation peuvent imposer une approbation à tous les fine-grained personal access token ayant accès aux ressources de l’organisation.

De plus, les propriétaires d’organisation peuvent restreindre l’accès des personal access token (classic) à leur organisation.

Remarque : Pour le moment, certaines fonctionnalités sont utilisables uniquement avec les personal access tokens (classic) :

  • Seuls les personal access tokens (classic) disposent d’un accès en écriture pour les dépôts publics qui ne vous appartiennent pas, ou qui appartiennent à une organisation dont vous n’êtes pas membre.
  • Les collaborateurs externes peuvent utiliser uniquement les personal access tokens (classic) pour accéder aux dépôts d’organisation dont ils sont collaborateurs.
  • Les API suivantes prennent uniquement en charge les personal access tokens (classic). Pour obtenir la liste des opérations d’API REST prises en charge pour un fine-grained personal access token, consultez « Points de terminaison disponibles pour les fine-grained personal access token ».
    • API GraphQL
    • API REST pour gérer les importations de sources
    • API REST pour gérer des Projects (classic)
    • API REST pour gérer GitHub Packages
    • API REST pour gérer les notifications
    • API REST pour transférer un dépôt
    • API REST pour créer un dépôt à partir d’un modèle
    • API REST pour créer un dépôt destiné à l’utilisateur authentifié

À titre de précaution de sécurité, GitHub supprime automatiquement tout personal access token qui n’a pas été utilisé pendant un an. Pour plus de sécurité, nous vous recommandons fortement d’ajouter un délai d’expiration à chaque personal access token.

Création d’un fine-grained personal access token

Remarque : La fonctionnalité des Fine-grained personal access token est en version bêta et peut être amenée à changer. Pour laisser des commentaires, consultez la discussion relative aux commentaires.

  1. Vérifiez votre adresse e-mail, si elle n’a pas encore été vérifiée. 1. Dans le coin supérieur droit d’une page, cliquez sur votre photo de profil, puis sur Paramètres.

    Icône Paramètres dans la barre de l’utilisateur

  2. Dans la barre latérale gauche, cliquez sur Paramètres de développeur.

  3. Dans la barre latérale gauche, sous Personal access token , cliquez sur Jetons affinés.

  4. Cliquez sur Générer un nouveau jeton.

  5. Le cas échéant, sous Nom du jeton, entrez un nom pour le jeton.

  6. Sous Expiration, sélectionnez une date d’expiration pour le jeton.

  7. Le cas échéant, sous Description, ajoutez une note pour décrire la finalité du jeton.

  8. Sous Propriétaire de ressource, sélectionnez un propriétaire de ressource. Le jeton peut uniquement accéder aux ressources appartenant au propriétaire de ressource sélectionné. Les organisations dont vous êtes membre n’apparaissent pas, sauf si l’organisation a opté pour les fine-grained personal access token. Pour plus d’informations, consultez « Définition d’une stratégie de personal access token pour votre organisation ».

  9. Le cas échéant, si le propriétaire de ressource est une organisation qui impose une approbation pour les fine-grained personal access token, dans la zone située sous le propriétaire de ressource, entrez une justification de la demande.

  10. Sous Accès au dépôt, sélectionnez les dépôts auxquels vous souhaitez que le jeton accède. Vous devez choisir l’accès minimal au dépôt répondant à vos besoins. Les jetons incluent toujours un accès en lecture seule à tous les dépôts publics sur GitHub.

  11. Si vous avez sélectionné Sélectionner uniquement les dépôts à l’étape précédente, sous la liste déroulante Dépôts sélectionnés, sélectionnez les dépôts auxquels vous souhaitez que le jeton accède.

  12. Sous Autorisations, sélectionnez les autorisations à octroyer au jeton. Selon les informations que vous avez spécifiées pour le propriétaire de la ressource et l’accès au dépôt, il existe des autorisations relatives au dépôt, à l’organisation et au compte. Vous devez choisir les autorisations minimales nécessaires à vos besoins. Pour plus d’informations sur les autorisations nécessaires à chaque opération d’API REST, consultez « Autorisations nécessaires pour les fine-grained personal access token ».

  13. Cliquez sur Générer un jeton.

Si vous avez sélectionné une organisation en tant que propriétaire de ressource et si cette organisation impose une approbation pour les fine-grained personal access token, votre jeton est marqué comme étant pending jusqu’à ce qu’il soit examiné par un administrateur d’organisation. Votre jeton ne peut pas lire les ressources publiques tant qu’il n’a pas été approuvé. Si vous êtes propriétaire de l’organisation, votre demande est automatiquement approuvée. Pour plus d’informations, consultez « Vérification et révocation des personal access token dans votre organisation ».

Création d’un personal access token (classic)

Remarque : Les propriétaires d’organisation peuvent restreindre l’accès des personal access token (classic) à leur organisation. Si vous essayez d’utiliser un personal access token (classic) pour accéder aux ressources d’une organisation qui a désactivé l’accès des personal access token (classic), votre requête échouera en indiquant la réponse 403. À la place, vous devez utiliser une GitHub App, une OAuth App ou un fine-grained personal access token.

Remarque : Votre personal access token (classic) peut accéder à tous les dépôts auxquels vous avez accès. GitHub vous recommande d’utiliser à la place des fine-grained personal access token, que vous pouvez restreindre à des dépôts spécifiques. Les Fine-grained personal access token vous permettent également de spécifier des autorisations précises à la place de larges étendues.

  1. Vérifiez votre adresse e-mail, si elle n’a pas encore été vérifiée. 1. Dans le coin supérieur droit d’une page, cliquez sur votre photo de profil, puis sur Paramètres.

    Icône Paramètres dans la barre de l’utilisateur

  2. Dans la barre latérale gauche, cliquez sur Paramètres de développeur.

  3. Dans la barre latérale gauche, sous Personal access token , cliquez sur Jetons (classique) . 1. Sélectionnez Générer un nouveau jeton, puis cliquez sur Générer un nouveau jeton (classique) .

  4. Donnez à votre jeton un nom descriptif. Champ de description du jeton

  5. Pour attribuer à votre jeton un délai d’expiration, sélectionnez le menu déroulant Expiration, puis cliquez sur une valeur par défaut ou utilisez le sélecteur de date. Champ d’expiration du jeton

  6. Sélectionnez les étendues à octroyer à ce jeton. Pour utiliser votre jeton afin d’accéder aux dépôts à partir de la ligne de commande, sélectionnez dépôt. Un jeton sans étendues attribuées peut accéder aux informations publiques uniquement. Pour plus d’informations, consultez « Étendues disponibles ». Sélection des étendues de jeton

  7. Cliquez sur Générer un jeton. Bouton Générer un jeton Jeton créé

  8. Pour utiliser votre jeton afin d’accéder aux ressources appartenant à une organisation qui utilise l’authentification unique SAML, autorisez ce jeton. Pour plus d’informations, consultez « Autorisation de l’utilisation d’un personal access token avec l’authentification unique SAML » dans la documentation de GitHub Enterprise Cloud.

Utilisation d’un jeton sur la ligne de commande

Une fois que vous avez un jeton, vous pouvez l’entrer à la place de votre mot de passe quand vous effectuez des opérations Git sur HTTPS.

Par exemple, sur la ligne de commande, vous pouvez entrer ceci :

$ git clone https://github.com/USERNAME/REPO.git
Username: YOUR_USERNAME
Password: YOUR_TOKEN

Les Personal access token peuvent uniquement être utilisés pour les opérations Git HTTPS. Si votre dépôt utilise une URL distante SSH, vous devez faire passer le dépôt distant de SSH à HTTPS.

Si vous n’êtes pas invité à entrer votre nom d’utilisateur et votre mot de passe, il se peut que vos informations d’identification soient en cache sur votre ordinateur. Vous pouvez mettre à jour vos informations d’identification dans le trousseau pour remplacer votre ancien mot de passe par le jeton.

Au lieu d’entrer manuellement votre personal access token pour chaque opération Git HTTPS, vous pouvez mettre en cache votre personal access token avec un client Git. Git stocke temporairement vos informations d’identification en mémoire jusqu’à ce qu’un intervalle d’expiration soit écoulé. Vous pouvez également stocker le jeton dans un fichier texte brut que Git peut lire avant chaque requête. Pour plus d’informations, consultez « Mise en cache de vos informations d’identification GitHub dans Git ».

Pour aller plus loin