根据this link,OAuth令牌的范围似乎只能提供对GitHub公共资源的访问权限。
(无范围):授予对公共信息的只读访问权限(包括公共用户配置文件信息,公共存储库信息和要点)
在我的JavaScript客户端代码中包含此个人访问令牌仍然不安全吗?
答案 0 :(得分:3)
VonC的答案是正确的,但遗失了令牌公开的主要风险:
恶意用户可能故意过度使用您的令牌,这可能会耗尽您的API配额,甚至可能导致您的令牌或GitHub帐户被屏蔽。
在下面找到我从GitHub支持获得的回复:
从某种意义上说,发布这样一个无范围的令牌并不是不安全的 令牌只能用于获取已经存在的信息 公开可用 - 它不能用于获取任何私人数据和 无法用于修改任何数据。
但是,从某种意义上说,你可能会认为它不安全 令牌共享相同的GitHub API配额 (https://developer.github.com/v3/#rate-limiting)。所以,如果有人 获取您的令牌并使用它发出大量API请求 - 他们会 耗尽您的配额以及您的所有其他令牌和应用程序 授权将需要等到配额刷新。
此外,如果此人在短时间内提出了大量API请求 使用令牌的时间 - 他们可能会触发我们的滥用率限制 (https://developer.github.com/guides/best-practices-for-integrators/#dealing-with-abuse-rate-limits) 如果他们不减速 - 我们可能需要阻止他们 该令牌或整个帐户,以防止我们的进一步问题 (以及其他用户)。
答案 1 :(得分:0)
这不是不安全的,你只需要承认管理方面。
如果您的帐户因任何原因被删除,或者您撤销令牌,它将变为无效,这意味着您的Javascript客户端代码的任何用户都会遇到中断,直到您发布更新。
话虽如此,您可以在this repo for instance中看到这种方法(包括'无范围'PAT)。