管理员访问令牌可以为所有主人提供可见性

时间:2018-01-10 12:01:31

标签: gitlab hook gitlab-ce

在GitLab项目中,拥有项目主权限的人员可以在项目中查看管理员访问令牌 - >设置 - >整合 - >钩子 - >编辑路径。

钩: enter image description here 编辑钩子: enter image description here

此管理员的访问令牌如何对其他用户可见?如何隐藏这个?

1 个答案:

答案 0 :(得分:1)

这完全违背了令牌的目的,因此没有这样的特征。

代币应该在每种情况下都是唯一的,并且授予的权利尽可能小。

如果您使用管理员的个人令牌作为webhook机密,则目标将启用以最佳情况读出您的所有用户数据。在您为令牌启用API访问的情况下,它可以随意更改实例,例如。删除项目。

TLDR:不要多次使用相同的令牌。