참고: GitHub App 대신 OAuth app을(를) 빌드하는 것이 좋습니다. GitHub Apps은(는) 범위 대신 세분화된 권한을 사용하므로, 앱이 수행할 수 있는 작업을 더 잘 제어할 수 있습니다. 자세한 내용은 "GitHub 앱과 OAuth 앱 간의 차이점" 및 "GitHub 앱 만들기 정보"을(를) 참조하세요.
GitHub OAuth app을(를) 설정할 때, 요청된 범위가 권한 부여 양식에서 사용자에게 표시됩니다.
참고: GitHub 앱을 빌드하는 경우 권한 부여 요청에 범위를 제공할 필요가 없습니다. 이것에 대한 자세한 내용은 "사용자를 대신하여 GitHub 앱으로 인증"을(를) 참조하세요.
OAuth app에서 CLI 도구와 같은 브라우저에 액세스할 수 없는 경우 사용자가 앱에 인증할 범위를 지정할 필요가 없습니다. 자세한 내용은 "OAuth 앱 권한 부여"을(를) 참조하세요.
헤더를 확인하여 사용 중인 OAuth 범위와 API 작업이 무엇을 허용하는지 확인합니다.
$ curl -H "Authorization: Bearer OAUTH-TOKEN" http(s)://<em>HOSTNAME</em>/api/v3/users/codertocat -I
HTTP/2 200
X-OAuth-Scopes: repo, user
X-Accepted-OAuth-Scopes: user
X-OAuth-Scopes는 토큰에 권한이 부여된 범위를 나열합니다.X-Accepted-OAuth-Scopes는 작업이 검사하는 범위를 나열합니다.
사용 가능한 범위
| 속성 | 설명 |
|---|---|
(no scope) | 공개 정보에 대한 읽기 전용 액세스 권한을 부여합니다(사용자 프로필 정보, 리포지토리 정보 및 gist 포함). |
site_admin | 사이트 관리자에게 GitHub Enterprise Server 관리 API 엔드포인트에 대한 권한을 부여합니다. |
repo | 코드, 커밋 상태, 리포지토리 초대, 협력자, 배포 상태 및 리포지토리 웹후크에 대한 읽기 및 쓰기 권한을 포함하여 퍼블릭, 내부 및 프라이빗 리포지토리에 대한 모든 권한을 부여합니다. 참고: 리포지토리 관련 리소스 외에도 repo 범위는 프로젝트, 초대, 팀 멤버 자격 및 웹후크를 포함하여 조직 소유 리소스를 관리할 수 있는 액세스 권한을 부여합니다. 이 범위는 사용자가 소유한 프로젝트를 관리하는 기능도 부여합니다. |
repo:status | 퍼블릭, 프라이빗, 내부 리포지토리의 커밋 상태에 대한 읽기/쓰기 권한을 부여합니다. 이 범위는 코드에 대한 액세스 권한을 부여하지 않고 다른 사용자 또는 서비스에 프라이빗 리포지토리 커밋 상태에 대한 액세스 권한을 부여하는 데만 필요합니다. |
repo_deployment | 퍼블릭 및 프라이빗 리포지토리의 배포 상태에 대한 액세스 권한을 부여합니다. 이 범위는 코드에 대한 액세스 권한을 부여하지 않고 다른 사용자 또는 서비스에 배포 상태에 대한 액세스 권한을 부여하는 데만 필요합니다. |
public_repo | 퍼블릭 리포지토리에 대한 액세스 제한 여기에는 퍼블릭 리포지토리 및 조직의 코드, 커밋 상태, 리포지토리 프로젝트, 협력자 및 배포 상태에 대한 읽기/쓰기 액세스가 포함됩니다. 퍼블릭 리포지토리에 별표를 표시하는 경우에도 필요합니다. |
repo:invite | 리포지토리에서 협업하는 초대의 수락/거절 기능을 부여합니다. 이 범위는 코드에 대한 액세스 권한을 부여하지 않고 다른 사용자 또는 서비스에 초대에 대한 액세스 권한을 부여하는 데만 필요합니다. |
security_events | 다음 권한을 부여합니다. code scanning API의 보안 이벤트에 대한 읽기 및 쓰기 액세스를 부여합니다. 이 범위는 코드에 대한 액세스 권한을 부여하지 않고 다른 사용자 또는 서비스에 보안 이벤트에 대한 액세스 권한을 부여하는 데만 필요합니다. |
admin:repo_hook | 퍼블릭, 프라이빗 또는 내부 리포지토리의 후크에 대한 읽기, 쓰기, ping 및 삭제 권한을 부여합니다. repo 및 public_repo 범위는 리포지토리 후크를 포함하여 리포지토리에 대한 모든 권한을 부여합니다. admin:repo_hook 범위를 사용하여 리포지토리 후크로 액세스를 제한합니다. |
write:repo_hook | 퍼블릭, 프라이빗 또는 내부 리포지토리의 후크에 대한 읽기, 쓰기 및 ping 액세스 권한을 부여합니다. |
read:repo_hook | 퍼블릭, 프라이빗 또는 내부 리포지토리의 후크에 대한 읽기 및 ping 액세스 권한을 부여합니다. |
admin:org | 조직 및 해당 팀, 프로젝트, 멤버십을 완전히 관리합니다. |
write:org | 조직 멤버십, 조직 프로젝트 및 팀 멤버십에 대한 읽기 및 쓰기 권한입니다. |
read:org | 조직 멤버십, 조직 프로젝트 및 팀 멤버십에 대한 읽기 전용 권한입니다. |
admin:public_key | 공개 키를 완전히 관리합니다. |
write:public_key | 공개 키에 대한 세부 정보를 생성하고 나열하며 봅니다. |
read:public_key | 공개 키에 대한 세부 정보를 나열하고 봅니다. |
admin:org_hook | 조직 후크에 대한 읽기, 쓰기, ping 및 삭제 권한을 부여합니다. 참고: OAuth 토큰은 OAuth app에서 만든 조직 후크에서만 해당 동작을 수행할 수 있습니다. Personal access token은(는) 사용자가 만든 조직 후크에서만 이러한 동작을 수행할 수 있습니다. |
gist | gist에 대한 쓰기 권한을 부여합니다. |
notifications | 다음 권한을 부여합니다. 사용자의 알림에 대한 읽기 권한 스레드에 대한 읽기 권한으로 표시 리포지토리에 대한 조사식 및 비조사식 액세스 권한 스레드 구독에 대한 읽기, 쓰기 및 삭제 액세스 권한 |
user | 프로필 정보에 대한 읽기/쓰기 권한만 부여합니다. 이 범위에는 user:email과 user:follow가 포함됩니다. |
read:user | 사용자 프로필 데이터를 읽을 수 있는 액세스 권한을 부여합니다. |
user:email | 사용자의 이메일 주소에 대한 읽기 권한을 부여합니다. |
user:follow | 다른 사용자를 팔로우하거나 팔로우를 취소할 수 있는 액세스 권한을 부여합니다. |
delete_repo | 관리 가능한 리포지토리에 대한 삭제 권한을 부여합니다. |
write:discussion | 팀 토론에 대한 읽기 및 쓰기 권한을 허용합니다. |
read:discussion | 팀 토론에 대한 읽기 권한을 허용합니다. |
write:packages | GitHub Packages에서 패키지를 업로드하거나 게시할 수 있는 액세스 권한을 부여합니다. 자세한 내용은 "패키지 게시"을(를) 참조하세요. |
read:packages | GitHub Packages에서 패키지를 다운로드하거나 설치할 수 있는 액세스 권한을 부여합니다. 자세한 내용은 "패키지 설치"을(를) 참조하세요. |
delete:packages | GitHub Packages에서 패키지를 삭제할 수 있는 액세스 권한을 부여합니다. 자세한 내용은 "패키지 삭제 및 복원"을(를) 참조하세요. |
admin:gpg_key | GPG 키를 완전히 관리합니다. |
write:gpg_key | GPG 키에 대한 세부 정보를 생성하고 나열하며 봅니다. |
read:gpg_key | GPG 키에 대한 세부 정보를 나열하고 봅니다. |
workflow | GitHub Actions 워크플로 파일을 추가하고 업데이트하는 기능을 부여합니다. 경로와 내용이 모두 동일한 파일이 동일한 리포지토리의 다른 분기에 있는 경우 이 범위 없이 워크플로 파일을 커밋할 수 있습니다. 워크플로 파일은 다른 범위 집합을 포함할 수 있는 GITHUB_TOKEN을 노출할 수 있습니다. 자세한 내용은 "자동 토큰 인증"을(를) 참조하세요. |
admin:enterprise | 엔터프라이즈 기능의 전체 제어 기능을 제공합니다. 자세한 내용은 GraphQL API 설명서의 "엔터프라이즈 계정 관리"을(를) 참조하세요.manage_runners:enterprise, manage_billing:enterprise, 및 read:enterprise를 포함하세요. |
manage_runners:enterprise | 엔터프라이즈 내에서 자체 호스트형 실행기에 대한 전체 제어 기능을 제공합니다. 자세한 내용은 "자체 호스트형 실행기 정보"을(를) 참조하세요. |
manage_billing:enterprise | 엔터프라이즈 청구 데이터를 읽고 씁니다. 자세한 정보는 "청구에 대한 REST API 엔드포인트"을(를) 참조하세요. |
read:enterprise | 엔터프라이즈 프로필의 모든 데이터를 읽습니다. 엔터프라이즈 구성원 또는 조직의 프로필 데이터는 포함하지 않습니다. |
read:audit_log | 감사 로그 데이터를 읽습니다. |
참고: OAuth app은(는) 초기 리디렉션에서 범위를 요청할 수 있습니다. 다음과 같이 %20을 사용하여 여러 범위를 공백으로 구분하여 지정할 수 있습니다.
https://github.com/login/oauth/authorize?
client_id=...&
scope=user%20repo_deployment
요청된 범위 및 권한 부여된 범위
scope 특성에는 사용자가 권한을 부여한 토큰에 연결된 범위가 나열됩니다. 일반적으로 해당 범위는 요청한 범위와 동일합니다.
그러나 사용자는 범위를 편집하여 애플리케이션에 원래 요청한 것보다 적은 액세스 권한을 효과적으로 부여할 수 있습니다. 또한 사용자는 OAuth 흐름이 완료된 후 토큰 범위를 편집할 수 있습니다.
가능성을 인지하고 그에 따라 애플리케이션의 동작을 조정해야 합니다.
사용자가 원래 요청한 것보다 적은 액세스 권한을 부여하는 오류 사례를 처리하는 것이 중요합니다. 예를 들어 애플리케이션은 사용자에게 기능이 축소되거나 일부 작업을 수행할 수 없음을 경고하거나 전달할 수 있습니다.
또한 애플리케이션이 항상 추가 권한을 얻도록 흐름을 통해 사용자를 돌려보낼 수 있지만 사용자는 항상 거절할 수 있다는 것을 잊지 마세요.
수정 가능한 토큰 범위 처리에 대한 팁을 제공하는 인증의 기본 사항 가이드를 확인하세요.
정규화된 범위
여러 범위를 요청할 때 토큰은 정규화된 범위 목록과 함께 저장되어 요청된 다른 범위에 암시적으로 포함된 범위를 삭제합니다. 예를 들어user,gist,user:email을 요청하면 user:email 범위에서 부여된 액세스가 user 범위에 포함되므로 user 및 gist 범위만 있는 토큰이 생성됩니다.