Quand un jeton a expiré ou a été révoqué, il ne peut plus être utilisé pour authentifier les requêtes Git et les requêtes d’API. Il n’est pas possible de restaurer un jeton révoqué ou qui a expiré. Un autre jeton devra être créé par l’application ou par vous-même.
Cet article explique les raisons possibles pour lesquelles votre GitHub jeton peut être révoqué ou expirer.
Remarque
Lorsqu’un jeton personal access token, un jeton OAuth app ou un jeton GitHub App expire ou est révoqué, il se peut que vous voyiez une action oauth_authorization.destroy dans votre journal de sécurité. Pour plus d’informations, consultez « Examen de votre journal de sécurité ».
Jeton révoqué après avoir atteint sa date d’expiration
Lorsque vous créez un personal access tokenjeton, nous vous recommandons de définir une expiration pour votre jeton. Quand la date d’expiration de votre jeton est atteinte, il est automatiquement révoqué. Pour plus d’informations, consultez « Gestion de vos jetons d’accès personnels ».
Jeton révoqué par l’utilisateur
Vous pouvez révoquer l’autorisation accordée à un GitHub App ou à OAuth app depuis les paramètres de votre compte, ce qui entraînera la révocation de tous les jetons associés à l’application. Pour plus d’informations, consultez « Examen et révocation de l’autorisation des applications GitHub » et « Examen de vos applications autorisées OAuth ».
Quand une autorisation est révoquée, tous les jetons associés à l’autorisation sont également révoqués. Pour réauthoriser une application, suivez les instructions de l’application ou du site web tiers pour reconnecter votre compte GitHub .
Token révoqué par le OAuth app
Le propriétaire du OAuth app peut révoquer l’autorisation qu’un compte a accordée à son application ; cela révoquera également tous les jetons associés à cette autorisation. Pour plus d’informations sur la révocation des autorisations de votre OAuth app, consultez Points de terminaison d’API REST pour les autorisations OAuth.
OAuth app les propriétaires peuvent également révoquer des jetons individuels associés à une autorisation. Pour plus d’informations sur la révocation de jetons individuels pour votre OAuth app, consultez Points de terminaison d’API REST pour les autorisations OAuth.
Jeton révoqué en raison d’un nombre excessif de jetons pour un OAuth app ayant la même portée
Le nombre de jetons émis par combinaison utilisateur/application/étendue est limité à dix, avec une limite de taux de dix jetons créés par heure. Si une application crée plus de 10 jetons pour le même utilisateur et les mêmes étendues, les jetons les plus anciens avec la même combinaison utilisateur/application/étendue seront révoqués. Toutefois, le fait d'atteindre la limite de débit horaire ne va pas révoquer votre jeton le plus ancien. Au lieu de cela, il déclenche une invite de ré-autorisation dans le navigateur, demandant à l’utilisateur de doubler vérifier les autorisations qu’il accorde à votre application. Cette invite est destinée à donner une pause à toute boucle infinie potentielle dans laquelle l’application est bloquée, car il n’y a pas de raison pour une application de demander dix jetons à l’utilisateur dans un délai d’une heure.
Le jeton utilisateur a expiré en raison de la GitHub App configuration
Les jetons d’accès utilisateur créés par un GitHub App expirent après huit heures par défaut, puis doivent ensuite être régénérés à l’aide du jeton d’actualisation inclus. Les propriétaires de GitHub Apps peuvent également configurer ces jetons pour qu’ils n’expirent jamais, mais cela n’est pas recommandé en raison des risques pour la sécurité. Pour plus d’informations sur la configuration des jetons d’accès utilisateur de votre GitHub App, consultez Activation des fonctionnalités facultatives pour GitHub Apps.