个人访问令牌安全说明

本文进行个人访问令牌安全性说明。

说明

为保证访问 API 和代码 git 操作的令牌安全,云效只会在首次创建时返回令牌并显示,在以后的令牌获取请求中,将无法获取到原始令牌。同时,云效会对您创建的令牌进行加密存储,确保令牌保管过程的安全性。

在令牌的申请和使用过程中,请遵循最小化授权、安全保管、谨慎使用等安全原则,降低可能存在的安全风险。

令牌授权

  • 在创建令牌时,需要选择令牌可访问的API权限点和有效时间,权限点选择遵循最小授权原则,有效时间尽量选择在需要的范围内,不使用永久时间。

  • 令牌具有与令牌申请人相同的访问资源和对这些资源执行操作的能力,并且还受到授予令牌的API权限范围限制。令牌无法向用户授予额外访问权限功能。

安全保管

处理身份验证凭据的方式与处理密码或其他敏感凭据的方式相同:

  • 不要使用未加密的消息或电子邮件、IM等系统共享令牌;

  • 不要在命令行中以纯文本形式传递令牌;

  • 不要将未加密的令牌推送到公共代码库等不受控的系统中;

谨慎使用

  • 请勿将令牌硬编码到代码并推送到公共仓库。可以将令牌写到环境变量中,调用接口时通过访问环境变量将 token 写入请求体,避免因代码非正常访问造成的令牌泄露进而引发数据泄露风险;

  • 请养成良好习惯,不使用永久令牌并定期或不定期更新令牌;

  • 在发现令牌泄露时,请第一时间删除令牌;