Skip to main content

OAuth 앱에 대한 범위

범위를 사용하면 필요한 액세스 유형을 정확히 지정할 수 있습니다. 범위는 OAuth 토큰에 대한 액세스를 _제한_합니다. 사용자가 이미 가지고 있는 것 이상의 추가 권한은 부여하지 않습니다.

참고: GitHub App 대신 OAuth app을(를) 빌드하는 것이 좋습니다. GitHub Apps은(는) 범위 대신 세분화된 권한을 사용하므로, 앱이 수행할 수 있는 작업을 더 잘 제어할 수 있습니다. 자세한 내용은 "GitHub 앱과 OAuth 앱 간의 차이점" 및 "GitHub 앱 만들기 정보"을(를) 참조하세요.

GitHub OAuth app을(를) 설정할 때, 요청된 범위가 권한 부여 양식에서 사용자에게 표시됩니다.

참고: GitHub 앱을 빌드하는 경우 권한 부여 요청에 범위를 제공할 필요가 없습니다. 이것에 대한 자세한 내용은 "사용자를 대신하여 GitHub 앱으로 인증"을(를) 참조하세요.

OAuth app에서 CLI 도구와 같은 브라우저에 액세스할 수 없는 경우 사용자가 앱에 인증할 범위를 지정할 필요가 없습니다. 자세한 내용은 "OAuth 앱 권한 부여"을(를) 참조하세요.

헤더를 확인하여 사용 중인 OAuth 범위와 API 작업이 무엇을 허용하는지 확인합니다.

$ curl -H "Authorization: Bearer OAUTH-TOKEN" http(s)://HOSTNAME/api/v3/users/codertocat -I
HTTP/2 200
X-OAuth-Scopes: repo, user
X-Accepted-OAuth-Scopes: user
  • X-OAuth-Scopes는 토큰에 권한이 부여된 범위를 나열합니다.
  • X-Accepted-OAuth-Scopes는 작업이 검사하는 범위를 나열합니다.

사용 가능한 범위

속성설명
(no scope)공개 정보에 대한 읽기 전용 액세스 권한을 부여합니다(사용자 프로필 정보, 리포지토리 정보 및 gist 포함).
site_admin사이트 관리자에게 GitHub Enterprise Server 관리 API 엔드포인트에 대한 권한을 부여합니다.
repo코드, 커밋 상태, 리포지토리 초대, 협력자, 배포 상태 및 리포지토리 웹후크에 대한 읽기 및 쓰기 권한을 포함하여 퍼블릭, 내부 및 프라이빗 리포지토리에 대한 모든 권한을 부여합니다. 참고: 리포지토리 관련 리소스 외에도 repo 범위는 프로젝트, 초대, 팀 멤버 자격 및 웹후크를 포함하여 조직 소유 리소스를 관리할 수 있는 액세스 권한을 부여합니다. 이 범위는 사용자가 소유한 프로젝트를 관리하는 기능도 부여합니다.
repo:status퍼블릭, 프라이빗, 내부 리포지토리의 커밋 상태에 대한 읽기/쓰기 권한을 부여합니다. 이 범위는 코드에 대한 액세스 권한을 부여하지 않고 다른 사용자 또는 서비스에 프라이빗 리포지토리 커밋 상태에 대한 액세스 권한을 부여하는 데만 필요합니다.
repo_deployment퍼블릭 및 프라이빗 리포지토리의 배포 상태에 대한 액세스 권한을 부여합니다. 이 범위는 코드에 대한 액세스 권한을 부여하지 않고 다른 사용자 또는 서비스에 배포 상태에 대한 액세스 권한을 부여하는 데만 필요합니다.
public_repo퍼블릭 리포지토리에 대한 액세스 제한 여기에는 퍼블릭 리포지토리 및 조직의 코드, 커밋 상태, 리포지토리 프로젝트, 협력자 및 배포 상태에 대한 읽기/쓰기 액세스가 포함됩니다. 퍼블릭 리포지토리에 별표를 표시하는 경우에도 필요합니다.
repo:invite리포지토리에서 협업하는 초대의 수락/거절 기능을 부여합니다. 이 범위는 코드에 대한 액세스 권한을 부여하지 않고 다른 사용자 또는 서비스에 초대에 대한 액세스 권한을 부여하는 데만 필요합니다.
security_events다음 권한을 부여합니다.
code scanning API의 보안 이벤트에 대한 읽기 및 쓰기 액세스를 부여합니다.
이 범위는 코드에 대한 액세스 권한을 부여하지 않고 다른 사용자 또는 서비스에 보안 이벤트에 대한 액세스 권한을 부여하는 데만 필요합니다.
admin:repo_hook퍼블릭, 프라이빗 또는 내부 리포지토리의 후크에 대한 읽기, 쓰기, ping 및 삭제 권한을 부여합니다. repopublic_repo 범위는 리포지토리 후크를 포함하여 리포지토리에 대한 모든 권한을 부여합니다. admin:repo_hook 범위를 사용하여 리포지토리 후크로 액세스를 제한합니다.
write:repo_hook퍼블릭, 프라이빗 또는 내부 리포지토리의 후크에 대한 읽기, 쓰기 및 ping 액세스 권한을 부여합니다.
read:repo_hook퍼블릭, 프라이빗 또는 내부 리포지토리의 후크에 대한 읽기 및 ping 액세스 권한을 부여합니다.
admin:org조직 및 해당 팀, 프로젝트, 멤버십을 완전히 관리합니다.
write:org조직 멤버십 및 조직 프로젝트에 대한 읽기 및 쓰기 권한입니다.
read:org조직 멤버십, 조직 프로젝트 및 팀 멤버십에 대한 읽기 전용 권한입니다.
admin:public_key공개 키를 완전히 관리합니다.
write:public_key공개 키에 대한 세부 정보를 생성하고 나열하며 봅니다.
read:public_key공개 키에 대한 세부 정보를 나열하고 봅니다.
admin:org_hook조직 후크에 대한 읽기, 쓰기, ping 및 삭제 권한을 부여합니다. 참고: OAuth 토큰은 OAuth app에서 만든 조직 후크에서만 해당 동작을 수행할 수 있습니다. Personal access token은(는) 사용자가 만든 조직 후크에서만 이러한 동작을 수행할 수 있습니다.
gistgist에 대한 쓰기 권한을 부여합니다.
notifications다음 권한을 부여합니다.
사용자의 알림에 대한 읽기 권한
스레드에 대한 읽기 권한으로 표시
리포지토리에 대한 조사식 및 비조사식 액세스 권한
스레드 구독에 대한 읽기, 쓰기 및 삭제 액세스 권한
user프로필 정보에 대한 읽기/쓰기 권한만 부여합니다. 이 범위에는 user:emailuser:follow가 포함됩니다.
read:user사용자 프로필 데이터를 읽을 수 있는 액세스 권한을 부여합니다.
user:email사용자의 이메일 주소에 대한 읽기 권한을 부여합니다.
user:follow다른 사용자를 팔로우하거나 팔로우를 취소할 수 있는 액세스 권한을 부여합니다.
delete_repo관리 가능한 리포지토리에 대한 삭제 권한을 부여합니다.
write:discussion팀 토론에 대한 읽기 및 쓰기 권한을 허용합니다.
read:discussion팀 토론에 대한 읽기 권한을 허용합니다.
write:packagesGitHub Packages에서 패키지를 업로드하거나 게시할 수 있는 액세스 권한을 부여합니다. 자세한 내용은 "패키지 게시"을(를) 참조하세요.
read:packagesGitHub Packages에서 패키지를 다운로드하거나 설치할 수 있는 액세스 권한을 부여합니다. 자세한 내용은 "패키지 설치"을(를) 참조하세요.
delete:packagesGitHub Packages에서 패키지를 삭제할 수 있는 액세스 권한을 부여합니다. 자세한 내용은 "패키지 삭제 및 복원"을(를) 참조하세요.
admin:gpg_keyGPG 키를 완전히 관리합니다.
write:gpg_keyGPG 키에 대한 세부 정보를 생성하고 나열하며 봅니다.
read:gpg_keyGPG 키에 대한 세부 정보를 나열하고 봅니다.
workflowGitHub Actions 워크플로 파일을 추가하고 업데이트하는 기능을 부여합니다. 경로와 내용이 모두 동일한 파일이 동일한 리포지토리의 다른 분기에 있는 경우 이 범위 없이 워크플로 파일을 커밋할 수 있습니다. 워크플로 파일은 다른 범위 집합을 포함할 수 있는 GITHUB_TOKEN을 노출할 수 있습니다. 자세한 내용은 "자동 토큰 인증"을(를) 참조하세요.
admin:enterprise엔터프라이즈 기능의 전체 제어 기능을 제공합니다. 자세한 내용은 GraphQL API 설명서의 "엔터프라이즈 계정 관리"을(를) 참조하세요.

manage_runners:enterprise, manage_billing:enterprise, 및 read:enterprise를 포함하세요.
manage_runners:enterprise엔터프라이즈 내에서 자체 호스트형 실행기에 대한 전체 제어 기능을 제공합니다. 자세한 내용은 "자체 호스트형 실행기 정보"을(를) 참조하세요.
manage_billing:enterprise엔터프라이즈 청구 데이터를 읽고 씁니다. 자세한 정보는 "청구에 대한 REST API 엔드포인트"을(를) 참조하세요.
read:enterprise엔터프라이즈 프로필의 모든 데이터를 읽습니다. 엔터프라이즈 구성원 또는 조직의 프로필 데이터는 포함하지 않습니다.
read:audit_log감사 로그 데이터를 읽습니다.

참고: OAuth app은(는) 초기 리디렉션에서 범위를 요청할 수 있습니다. 다음과 같이 %20을 사용하여 여러 범위를 공백으로 구분하여 지정할 수 있습니다.

https://github.com/login/oauth/authorize?
  client_id=...&
  scope=user%20repo_deployment

요청된 범위 및 권한 부여된 범위

scope 특성에는 사용자가 권한을 부여한 토큰에 연결된 범위가 나열됩니다. 일반적으로 해당 범위는 요청한 범위와 동일합니다. 그러나 사용자는 범위를 편집하여 애플리케이션에 원래 요청한 것보다 적은 액세스 권한을 효과적으로 부여할 수 있습니다. 또한 사용자는 OAuth 흐름이 완료된 후 토큰 범위를 편집할 수 있습니다. 가능성을 인지하고 그에 따라 애플리케이션의 동작을 조정해야 합니다.

사용자가 원래 요청한 것보다 적은 액세스 권한을 부여하는 오류 사례를 처리하는 것이 중요합니다. 예를 들어 애플리케이션은 사용자에게 기능이 축소되거나 일부 작업을 수행할 수 없음을 경고하거나 전달할 수 있습니다.

또한 애플리케이션이 항상 추가 권한을 얻도록 흐름을 통해 사용자를 돌려보낼 수 있지만 사용자는 항상 거절할 수 있다는 것을 잊지 마세요.

수정 가능한 토큰 범위 처리에 대한 팁을 제공하는 인증의 기본 사항 가이드를 확인하세요.

정규화된 범위

여러 범위를 요청할 때 토큰은 정규화된 범위 목록과 함께 저장되어 요청된 다른 범위에 암시적으로 포함된 범위를 삭제합니다. 예를 들어user,gist,user:email을 요청하면 user:email 범위에서 부여된 액세스가 user 범위에 포함되므로 usergist 범위만 있는 토큰이 생성됩니다.