Skip to main content

Autenticação automática de token

GitHub fornece um token que você pode usar para se autenticar em nome de GitHub Actions.

Observação: no momento, não há suporte para os executores hospedados no GitHub no GitHub Enterprise Server. Você pode ver mais informações sobre o suporte futuro planejado no GitHub public roadmap.

Sobre o segredo GITHUB_TOKEN

No início de cada execução de fluxo de trabalho, o GitHub cria automaticamente um segredo GITHUB_TOKEN exclusivo a ser usado no seu fluxo de trabalho. Use o GITHUB_TOKEN para se autenticar em uma execução de fluxo de trabalho.

Ao habilitar GitHub Actions, GitHub instala um GitHub App no seu repositório. O segredo GITHUB_TOKEN é um token de acesso de instalação do GitHub App. Você pode usar o token de acesso de instalação para autenticar em nome do GitHub App instalado no seu repositório. As permissões do token são restritas ao repositório do fluxo de trabalho. Para obter mais informações, confira "Permissões para o GITHUB_TOKEN".

Antes de iniciar cada trabalho, GitHub busca um token de acesso de instalação para o trabalho. O GITHUB_TOKEN expira quando um trabalho é concluído ou após, no máximo, 24 horas.

O token também está disponível no contexto github.token. Para obter mais informações, confira "Contextos".

Como usar o GITHUB_TOKEN em um fluxo de trabalho

Use o GITHUB_TOKEN usando a sintaxe padrão para referenciar segredos: ${{ secrets.GITHUB_TOKEN }}. Entre os exemplos de uso do token GITHUB_TOKEN estão a transmissão do token como uma entrada para uma ação ou o uso dele para fazer uma solicitação de API autenticada do GitHub Enterprise Server.

Importante: uma ação pode acessar o GITHUB_TOKEN por meio do contexto github.token, mesmo que o fluxo de trabalho não transmita GITHUB_TOKEN explicitamente para a ação. Como uma boa prática de segurança, você deve sempre garantir que as ações tenham apenas o acesso mínimo necessário limitando as permissões concedidas ao GITHUB_TOKEN. Para obter mais informações, confira "Permissões para o GITHUB_TOKEN".

Quando você usar o GITHUB_TOKEN do repositório para executar tarefas, os eventos disparados pelo GITHUB_TOKEN não criarão uma execução de fluxo de trabalho. Isso impede que você crie execuções de fluxo de trabalho recursivo. Por exemplo, se uma execução de fluxo de trabalho efetuar push do código usando o GITHUB_TOKEN do repositório, um novo fluxo de trabalho não será executado mesmo quando o repositório contiver um fluxo de trabalho configurado para ser executado quando os eventos do push ocorrerem.

Exemplo 1: transmissão do GITHUB_TOKEN como uma entrada

Este exemplo de fluxo de trabalho usa a ação do rotulador, que requer o GITHUB_TOKEN como o valor para o parâmetro de entrada repo-token:

YAML
name: Pull request labeler
on: [ pull_request_target ]

permissions:
  contents: read
  pull-requests: write

jobs:
  triage:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/labeler@v4
        with:
          repo-token: ${{ secrets.GITHUB_TOKEN }}

Exemplo 2: chamando a API REST

Use o GITHUB_TOKEN para fazer chamadas à API autenticadas. Este exemplo de fluxo de trabalho cria um problema usando a API REST de GitHub:

name: Create issue on commit

on: [ push ]

jobs:
  create_issue:
    runs-on: ubuntu-latest
    permissions:
      issues: write 
    steps:
      - name: Create issue using REST API
        run: |
          curl --request POST \
          --url http(s)://HOSTNAME/api/v3/repos/${{ github.repository }}/issues \
          --header 'authorization: Bearer ${{ secrets.GITHUB_TOKEN }}' \
          --header 'content-type: application/json' \
          --data '{
            "title": "Automated issue for commit: ${{ github.sha }}",
            "body": "This issue was automatically created by the GitHub Action workflow **${{ github.workflow }}**. \n\n The commit hash was: _${{ github.sha }}_."
            }' \
          --fail

Permissões para o GITHUB_TOKEN

Para obter informações sobre os pontos de extremidade de API que podem ser acessados pelos GitHub Apps com cada permissão, confira "Permissões do GitHub App".

A tabela a seguir mostra as permissões concedidas para a função GITHUB_TOKEN por padrão. As pessoas com permissões de administrador para uma empresa, organização ou repositório de organização ou repositório pode definir as permissões padrão como permissivas ou restritas. Para obter informações sobre como definir as permissões padrão do GITHUB_TOKEN para sua empresa, sua organização ou seu repositório, confira "Como impor políticas para o GitHub Actions na sua empresa", "Como desabilitar ou limitar o GitHub Actions para sua organização" ou "Como gerenciar configurações do GitHub Actions para um repositório".

EscopoAcesso padrão
(permissivo)
Acesso padrão
(restrito)
Acesso máximo a
solicitações de pull de
repositórios públicos com fork[†]
Açõesleitura/gravaçãonenhumleitura
verificaçõesleitura/gravaçãonenhumleitura
conteúdosleitura/gravaçãoleituraleitura
deploymentsleitura/gravaçãonenhumleitura
issuesleitura/gravaçãonenhumleitura
metadataleituraleituraleitura
pacotesleitura/gravaçãonenhumleitura
páginasleitura/gravaçãonenhumleitura
pull-requestsleitura/gravaçãonenhumleitura
repository-projectsleitura/gravaçãonenhumleitura
security-eventsleitura/gravaçãonenhumleitura
statusleitura/gravaçãonenhumleitura

[†] Os repositórios privados podem controlar se as solicitações de pull provenientes de forks podem executar fluxos de trabalho e configurar as permissões atribuídas a GITHUB_TOKEN. Para obter mais informações, confira "Como gerenciar as configurações do GitHub Actions para um repositório".

Como modificar as permissões para o GITHUB_TOKEN

Você pode modificar as permissões para GITHUB_TOKEN em arquivos de fluxo de trabalho individuais. Se as permissões padrão para o GITHUB_TOKEN são restritivas, talvez seja preciso elevar as permissões para permitir que algumas ações e alguns comandos sejam executados com sucesso. Se as permissões padrão são permissivas, você pode editar o arquivo de fluxo de trabalho para remover algumas permissões do GITHUB_TOKEN. Como uma boa prática de segurança, você deve conceder ao GITHUB_TOKEN o acesso menos necessário.

Veja as permissões que o GITHUB_TOKEN tinha Em um trabalho específico na seção "Configurar trabalho" do log de execução do fluxo de trabalho. Para obter mais informações, confira "Como usar logs de execução de fluxo de trabalho".

Use a chave permissions nos arquivos de fluxo de trabalho para modificar as permissões do GITHUB_TOKEN em um fluxo de trabalho inteiro ou em trabalhos individuais. Isso permite que você configure as permissões mínimas necessárias para um fluxo de trabalho ou trabalho. Quando a chave permissions é usada, todas as permissões não especificadas são definidas como sem acesso, com exceção do escopo metadata, que sempre obtém acesso de leitura.

Além disso, você pode usar a chave permissions para adicionar e remover permissões de leitura para repositórios com fork, mas normalmente não pode permitir acesso de gravação. A exceção desse comportamento é quando um usuário administrador selecionou a opção Enviar tokens para fluxos de trabalho de solicitações de pull nas configurações do GitHub Actions. Para obter mais informações, confira "Como gerenciar as configurações do GitHub Actions de um repositório".

Os dois exemplos de fluxos de trabalho já apresentados neste artigo mostram a chave permissions sendo usada no nível do fluxo de trabalho e no nível do trabalho. No Exemplo 1, as duas permissões são especificadas para todo o fluxo de trabalho. No Exemplo 2, o acesso de gravação é permitido para um escopo em um só trabalho.

Para obter detalhes completos da chave permissions, confira "Sintaxe de fluxo de trabalho do GitHub Actions".

Como as permissões são calculadas para um trabalho de fluxo de trabalho

Inicialmente, as permissões para o GITHUB_TOKEN são definidas como a configuração padrão para a empresa, a organização ou o repositório. Se o padrão for definido como permissões restritas em qualquer um desses níveis, isso irá aplicar-se aos repositórios relevantes. Por exemplo, Se você escolher o padrão restrito no nível da organização, todos os repositórios nessa organização usarão as permissões restritas como padrão. As permissões serão, então, ajustadas com base em qualquer configuração dentro do arquivo de fluxo de trabalho, primeiro no nível de fluxo de trabalho e, em seguida, no nível de trabalho. Por fim, se o fluxo de trabalho foi disparado por uma solicitação de pull de um repositório com fork e a configuração Enviar tokens de gravação para fluxos de trabalho por meio de solicitações de pull não está selecionada, as permissões são ajustadas para alterar as permissões de gravação para somente leitura.

Conceder permissões adicionais

Caso você precise ter um token que exija permissões que não estejam disponíveis no GITHUB_TOKEN, crie um personal access token e defina-o como um segredo no repositório:

  1. Use ou crie um token com as permissões adequadas para o repositório. Para obter mais informações, confira "Como criar um personal access token".
  2. Adicione o token como um segredo no repositório do fluxo de trabalho e referencie-o usando a sintaxe ${{ secrets.SECRET_NAME }}. Para obter mais informações, confira "Como criar e usar segredos criptografados".

Leitura adicional