项目访问令牌
您可以使用项目访问令牌进行身份验证:
- 使用 GitLab API。
- 使用 Git,当使用 HTTP 基本身份验证时。
配置项目访问令牌后,进行身份验证时不需要密码。相反,您可以输入任何非空白值。
项目访问令牌类似于个人访问令牌,不同之处在于它们与项目而不是用户相关联。
您可以使用项目访问令牌:
-
在 SaaS 版上,如果您拥有专业版或更高级别许可证。个人访问令牌不适用于试用许可证。
-
在具有任何许可证级别的自助管理实例上。如果您有标准版:
- 查看围绕用户自行注册的安全和合规性政策。
- 考虑禁用项目访问令牌以减少潜在的滥用。
项目访问令牌继承为个人访问令牌配置的默认前缀设置。
创建项目访问令牌
要创建项目访问令牌:
- 在顶部栏上,选择 菜单 > 项目 并找到您的项目。
- 在左侧边栏上,选择 设置 > 访问令牌。
- 输入名称。
- 可选。输入令牌的到期日期。 令牌将在该日期的 UTC 午夜到期。
- 为令牌选择一个角色。
- 选择所需范围。
- 选择 创建项目访问令牌。
显示项目访问令牌。 将项目访问令牌保存在安全的地方。 离开或刷新页面后,将无法再次查看。
撤销项目访问令牌
要撤销项目访问令牌:
- 在顶部栏上,选择 菜单 > 项目 并找到您的项目。
- 在左侧边栏上,选择 设置 > 访问令牌。
- 在要撤销的项目访问令牌旁边,选择 撤销。
项目访问令牌的范围
范围决定了您在使用项目访问令牌进行身份验证时可以执行的操作。
范围 | 描述 |
---|---|
api
| 授予对范围项目 API 的完整读写访问权限,包括 Package Registry。 |
read_api
| 授予对范围项目 API 的读取访问权限,包括 Package Registry。 |
read_registry
| 如果项目是私有的并且需要授权,则允许对 Container Registry 镜像进行读取访问(拉取)。 |
write_registry
| 允许对 Container Registry 进行写访问(推送)。 |
read_repository
| 允许对仓库进行读取访问(拉取)。 |
write_repository
| 允许对仓库进行读写访问(拉取和推送)。 |
启用或禁用项目访问令牌创建
引入于 13.11 版本。
要为顶级组中的所有项目启用或禁用项目访问令牌创建:
- 在顶部栏上,选择 菜单 > 群组 并找到您的群组。
- 在左侧边栏上,选择 设置 > 通用。
- 展开 权限、LFS、2FA。
- 在 权限 下,开启或关闭 允许创建项目访问令牌。
即使创建被禁用,您仍然可以使用和撤销现有的项目访问令牌。
群组访问令牌
使用群组访问令牌,您可以使用单个令牌来:
- 为群组执行操作。
- 管理群组内的项目。
- 在 14.2 及更高版本中,通过 HTTPS 使用 Git 进行身份验证。
您不能使用 UI 创建群组访问令牌。本节介绍了一种解决方法。
如果您是自助管理实例的管理员,您可以在 Rails 控制台 中创建群组访问令牌。
创建群组访问令牌
要创建群组访问令牌:
-
在 Rails 控制台中运行以下命令:
# Set the GitLab administration user to use. If user ID 1 is not available or is not an adinistrator, use 'admin = User.admins.first' instead to select an admininistrator. admin = User.find(1) # Set the group group you want to create a token for. For example, group with ID 109. group = Group.find(109) # Create the group bot user. For further group access tokens, the username should be group_#{group.id}_bot#{bot_count}. For example, group_109_bot2 and email address group_109_bot2@example.com. bot = Users::CreateService.new(admin, { name: 'group_token', username: "group_#{group.id}_bot", email: "group_#{group.id}_bot@example.com", user_type: :project_bot }).execute # Confirm the group bot. bot.confirm # Add the bot to the group with the required role. group.add_user(bot, :maintainer) # Give the bot a personal access token. token = bot.personal_access_tokens.create(scopes:[:api, :write_repository], name: 'group_token') # Get the token value. gtoken = token.token
-
测试生成的群组访问令牌是否有效:
-
将
PRIVATE-TOKEN
header 中的群组访问令牌与 GitLab REST API 一起使用。例如:- 在群组中创建史诗。
- 在群组中的项目之一创建项目流水线。
- 在群组中的项目之一创建议题。
-
使用群组令牌通过 HTTPS 克隆群组的项目。
-
撤销群组访问令牌
要撤销组访问令牌,请在 Rails 控制台中运行以下命令:
bot = User.find_by(username: 'group_109_bot') # the owner of the token you want to revoke
token = bot.personal_access_tokens.last # the token you want to revoke
token.revoke!
项目机器人用户
项目机器人用户是系统创建的服务帐户。 每次创建项目访问令牌时,都会创建一个机器人用户并将其添加到项目中。 这些机器人用户不算作许可席位。
机器人用户具有与项目访问令牌所选角色和范围对应的权限。
- 名称设置为令牌的名称。
- 第一个访问令牌的用户名设置为
project_{project_id}_bot
。例如,project_123_bot
。 - 电子邮件设置为
project{project_id}_bot@example.com
。例如,project123_bot@example.com
。 - 对于同一项目中的其他访问令牌,用户名设置为
project_{project_id}_bot{bot_count}
。例如,project_123_bot1
。 - 对于同一项目中的其他访问令牌,电子邮件设置为
project{project_id}_bot{bot_count}@example.com
。例如,project123_bot1@example.com
。
使用项目访问令牌进行的 API 调用与相应的机器人用户相关联。
机器人用户:
- 包含在项目的成员列表中但不能修改。
- 不能添加到任何其他项目。
当项目访问令牌被撤销时:
- 机器人用户被删除。
- 所有记录都移动到用户名为
Ghost User
的系统范围内的用户。有关详细信息,请参阅关联记录。