开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

对于仅用于将ssh密钥添加到GitHub帐户的个人访问令牌，我应该使用哪个作用域？

对于仅用于将ssh密钥添加到GitHub帐户的个人访问令牌，您应该使用"repo"作用域。

"repo"作用域允许您对仓库进行读写操作，包括添加和删除ssh密钥。使用该作用域可以确保您有足够的权限将ssh密钥添加到GitHub帐户中。

腾讯云相关产品中，推荐使用腾讯云的代码托管服务-CodeHub。CodeHub是一种基于Git的代码托管服务，提供了类似GitHub的功能，包括仓库管理、代码版本控制、协作开发等。您可以通过CodeHub来管理您的代码仓库，并使用"repo"作用域的个人访问令牌将ssh密钥添加到GitHub帐户中。

更多关于腾讯云的CodeHub的信息，请访问以下链接： https://cloud.tencent.com/product/codehub

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

21条最佳实践，全面保障 GitHub 使用安全

SAML SSO 还允许企业设置已批准的身份提供商。这意味着，企业可以限制用户仅使用组织的帐户登录，而不是使用个人 GitHub 帐户。...可以将 Git 设置为通过 GPG（GNU Privacy Guard）对提交进行签名，并在 git 配置中使用私有密钥配置提交。完成此操作后，您可以将 GPG key 添加到 GitHub。...security.md 文件可以作为开发人员的宝贵指南。 13. 轮换 SSH 密钥和个人访问令牌 SSH (Secure Shell) 密钥轮换可用作定期清除可能泄露的访问密钥。...最好在安全要求策略中对所有 SSH 密钥和个人访问令牌设置到期日期。需要注意，虽然可以通过 GitHub 的 API 自动进行 SSH 密钥轮换，但更改个人访问令牌是手动过程，只能由用户完成。...使用 “Secrets Vault” 服务随着项目的增长，加密密钥、令牌、密码、证书和 API 密钥等的数量也会增加。与其将这些信息放在 GitHub 上，不如使用“密码保险库”服务。

1.7K4 0

几行简单的命令即可

ssh-copy-id 命令将 SSH 密钥复制到服务器，如果需要，创建相应的 ssh 文件夹，最后将公钥作为授权密钥添加到服务器的.ssh / authorized_keys 文件中。...如果由于某种原因这不起作用，只需复制粘贴以下命令，这基本就是 ssh-copy 的作用：打开终端并运行以下步骤：生成一对认证密钥。系统将要求你输入任意密码。...假设你除了个人账户外，有一个 github 的工作帐户。那你就需要另一个公钥-私钥对，但你还是需要一个方便的接口。.../.ssh/github.comp.key 每个 ssh 连接将使用匹配的密钥进行连接。...由于不同的项目使用的机器不同（为平衡负载），因此会使用不同的隧道，所以我有时不记得哪个端口用于什么应用，更不用说在哪个服务器上了。

5981 0

如何在Ubuntu 18.04上安装和配置GitLab

没有服务器的同学可以在这里购买，不过我个人更推荐您使用免费的腾讯云开发者实验室进行试验，学会安装后再购买服务器。...按照电子邮件中的说明确认您的帐户，以便您可以开始使用GitLab。更改您的帐户名称接下来，单击左侧菜单栏中的Account项：在这里，您可以找到您的私有API令牌或配置双因素身份验证。...在您的帐户中添加SSH密钥在大多数情况下，您需要使用带有Git的SSH密钥与GitLab项目进行交互。为此，您需要将SSH公钥添加到GitLab帐户。...接下来，将您的域或域添加到白名单域以进行注册，每行一个域。您可以使用星号“*”指定通配符域：向下滚动到底部，然后单击“ 保存更改”按钮：现在应该从GitLab登录页面中删除注册部分。...在内部，您可以将默认项目限制更改为0以完全禁用新用户创建项目：新用户仍可手动添加到项目中，并可访问其他用户创建的内部或公共项目。

14.1K9 11

如何在Debian 9上安装和配置GitLab

没有服务器的同学可以在这里购买，不过我个人更推荐您使用免费的腾讯云开发者实验室进行试验，学会安装后再购买服务器。...按照电子邮件中的说明确认您的帐户，以便您可以开始使用GitLab。更改您的帐户名称接下来，单击左侧菜单栏中的Account项：在这里，您可以找到您的私有API令牌或配置双因素身份验证。...在您的帐户中添加SSH密钥在大多数情况下，您需要使用带有Git的SSH密钥与GitLab项目进行交互。为此，您需要将SSH公钥添加到GitLab帐户。...接下来，将您的域或域添加到白名单域以进行注册，每行一个域。您可以使用星号“*”指定通配符域：向下滚动到底部，然后单击“ 保存更改”按钮：现在应该从GitLab登录页面中删除注册部分。...在内部，您可以将默认项目限制更改为0以完全禁用新用户创建项目：新用户仍可手动添加到项目中，并可访问其他用户创建的内部或公共项目。

3.4K4 1

GitHub用户注意，网络钓鱼活动冒充CircleCI窃取凭证

对于启用了基于TOTP的双因素认证（2FA）的用户，钓鱼网站还会将TOTP代码实时转发给威胁行为者和GitHub，以便威胁行为者侵入账户。...GitHub指出，受硬件安全密钥保护的帐户不容易受到这种攻击。...在攻击者使用的策略是，快速创建GitHub个人访问令牌（pat），授权OAuth应用程序，或向帐户添加SSH密钥，以便在用户更改密码时保持对帐户的访问。...如果被破坏的帐户拥有组织管理权限，攻击者可能会创建新的GitHub用户帐户，并将其添加到组织中，以方便后续访问和威胁活动。...GitHub公告称，“已封禁所有已知的威胁行为者账户，我们将继续监测恶意活动并及时通知受影响用户。”

1.5K1 0

GitHub 废除基于密码的 Git 身份验证

从 09:00 PST （PST是北美太平洋标准时间，北京时间 14 日 0 点）开始，使用 GitHub 开发者将需要切换到基于令牌的身份验证去执行 Git 操作，基于令牌的认证包括个人接入、OAuth...这些功能使攻击者很难在多个网站上获取重复使用的密码，并使用它来访问用户的 GitHub 帐户。...可撤销——可以随时单独撤销令牌，不需要更新未受影响的凭据有限性——令牌的使用范围严格控制，仅允许执行用例中需要的访问活动随机性——令牌的复杂度远高于用户设计的简单密码，因此不受暴力破解等行为的影响。...使用用户的密码直接访问 GitHub.com 上的 Git 存储库的任何应用程序/服务。不受更改的影响：如果用户的帐户启用了双重身份验证，需要使用基于令牌或基于 SSH 的身份验证。...用户需要做什么对于开发人员，如果用户现在需要使用密码对 GitHub.com 的 Git 操作进行身份验证，则必须在 2021 年 8 月 13 日之前通过HTTPS（推荐）或 SSH 密钥开始使用个人访问令牌

1.6K2 0

10万 npm 用户账号信息被窃、日志中保存明文密码，GitHub安全问题何时休？

具体内容包括“npm 访问令牌和少量用于尝试登录 npm 账户的明文密码，以及一些发送到 npm 服务的 GitHub 个人访问令牌。” 不过，只有 GitHub 员工可以访问这些信息。...根据北卡罗来纳州立大学的研究，通过对超过 100 万个 GitHub 帐户为期六个月的连续扫描，发现包含用户名、密码、API 令牌、数据库快照、加密密钥和配置文件的文本字符串可通过 GitHub 公开访问...使用 GitHub 的一些建议即便 GitHub 自身在不断加强安全防护，但是每个 GitHub 用户也应该了解一些安全常识，尽量避免因为个人疏忽等原因造成不必要的损失。...切勿将凭据和敏感数据存储在 GitHub 上 GitHub 的目的是托管代码存储库。除了设置账户权限外，没有其他安全方法可以确保密钥、私人凭据和敏感数据可以一直处于可控和安全的环境中。...及时更换 SSH key 和个人访问 token GitHub 访问通常使用 SSH 密钥或个人用户令牌 (代替密码，因为已启用了双因素身份认证) ，开发者可以定期更新密钥和 token，来降低密钥泄露造成的任何损失

1.7K2 0

如何在Ubuntu 16.04上安装和配置GitLab

在你第一次访问时，你应该看到为管理帐户设置密码的初始提示： [GitLab初始密码设置提示] 在初始密码提示中，提供并确认管理帐户的安全密码。...更改你的帐户名称接下来，单击左侧菜单栏中的Account项： [GitLab帐户菜单项] 在这里，你可以找到你的私有API令牌或配置双因素身份验证。...在你的帐户中添加SSH密钥在大多数情况下，你需要使用带有Git的SSH密钥与GitLab项目进行交互。为此，你需要将SSH公钥添加到GitLab帐户。...为其指定一个描述性标题，然后单击“ Add key按钮： [GitLab添加SSH密钥] 你现在应该能够从本地计算机管理GitLab项目和存储库，而无需提供GitLab帐户凭据。...在内部，你可以将Default projects limit（默认项目限制）更改成0就是完全禁用新用户创建项目： [GitLab将项目设置为零] 新用户仍可被手动添加到项目中，并可访问其他用户创建的内部或公共项目

1.9K3 0

关于Support for password authentication was removed on August 13, 2021报错的解决方案

2021年8月13日开始就不能用了，必须使用个人访问令牌（personal access token），就是把你的密码替换成token！...这些功能使攻击者更难获取在多个网站上重复使用的密码并使用它来尝试访问您的 GitHub 帐户。...从 2021 年 8 月 13 日开始，我们将在对 Git 操作进行身份验证时不再接受帐户密码，并将要求使用基于令牌（token）的身份验证，例如个人访问令牌（针对开发人员）或 OAuth 或 GitHub...您也可以继续在您喜欢的地方使用 SSH 密钥（如果你要使用ssh密钥可以参考）。...有限：令牌可以缩小范围以仅允许用例所需的访问随机：令牌不需要记住或定期输入的更简单密码可能会受到的字典类型或蛮力尝试的影响如何生成token 1，打开Github，在个人设置页面，找到【Setting

2.1K3 0

github开发人员在七夕搞事情：remote: Support for password authentication was removed on August 13, 2021.

老夫就是许久没有建仓，这是什么情况，大概意思就是你原先的密码凭证从2021年8月13日开始就不能用了，必须使用个人访问令牌（personal access token），就是把你的密码替换成token！...这些功能使攻击者更难获取在多个网站上重复使用的密码并使用它来尝试访问您的 GitHub 帐户。...从 2021 年 8 月 13 日开始，我们将在对 Git 操作进行身份验证时不再接受帐户密码，并将要求使用基于令牌（token）的身份验证，例如个人访问令牌（针对开发人员）或 OAuth 或 GitHub...您也可以继续在您喜欢的地方使用 SSH 密钥（如果你要使用ssh密钥可以参考）。...有限：令牌可以缩小范围以仅允许用例所需的访问随机：令牌不需要记住或定期输入的更简单密码可能会受到的字典类型或蛮力尝试的影响三、如何生成自己的token 1、在个人设置页面，找到

1.2K1 1

开发经验｜Docker安全性的最佳实验

当然，你不希望你不认识的人伪装成你，所以在你使用SSH密钥或者接口令牌来确保通信安全时，你必须保密。不幸的是，有时你的密钥会泄露。...当这种情况发生时，它可能会允许不良行为者恶意使用密钥或将其发布在“暗网”上供他人使用。他们可以在您的代码中插入漏洞。他们可以冒充您或拒绝合法用户访问资源。...首先，使用Docker Hub控制访问最小权限原则是您的安全状态的一个强大部分。如果有人不需要访问您的Docker Hub映像，他们就不应该有访问权限。...Docker Hub也不用于存储帐户机密，私有存储库是深度防御模型中的一层。...如果您必须将机密保存在本地环境中，您可以通过将文件添加到.dockerignore文件来防止文件意外在图像上结束。例如，如果您担心意外将SSH密钥添加到图像中，您可以包括：*id_rsa*。

2013 1

为你的CVM设置SSH密钥吧！

默认情况下，SSH使用密码进行身份验证，大多数服务商都建议使用SSH密钥。然而，这仍然只是一个单一的因素。如果一个黑客已入侵了你电脑个人计算机，那么他们也可以使用您的密钥来破坏您的服务器。...第一个问题是，身份验证令牌是否应该是基于时间的。...如果您失去了对TOTP应用程序的访问权限，恢复代码是恢复访问权限的唯一方法。剩下的问题告诉PAM如何发挥作用。我们一个一个地检查他们。...提示3-避免某些帐户的MFA 在这种情况下，一个用户或几个服务帐户需要SSH访问，而不启用MFA。一些使用SSH的应用程序，比如一些FTP客户端，可能不支持MFA。...若要允许某些帐户的MFA和仅用于其他帐户的SSH键，请确保在/etc/pam.d/sshd。

2.8K2 0

ATT&CK视角下的红蓝对抗之Windows访问控制模型

假设当用户登录时，操作系统会对用户的帐户名和密码进行身份验证，当登录成功时，系统会自动分配访问令牌（Access Token）,访问令牌包含安全标识符，用于标识用户的帐户以及该用户所属的任何组帐户，当我们去创建一个进程也就是访问一个资源...，其中描述了登录进程返回的SID，与当前进程相关的用户帐户的安全组的特权列表，代表系统可以使用令牌使用户可以访问那些安全对象，及控制用户可以执行那些相关系统操作，通常用于本地登录及远程RDP登录的场景。...21-1315137663-3706837544-1429009142：表示域标识符。502：表示相对标识符RID（密钥分发中心 KDC服务所使用的KRBTGT帐户）。...没有帐户的用户可以自动登录此帐户。DOMAIN_GROUP_RID_USERS513包含域中所有用户帐户的组。所有用户都将自动添加到此组。...安全描述符包含二进制格式的安全信息，Windows API提供了用于将二进制安全描述符与文本字符串相互转换的功能。字符串格式的安全描述符不起作用，但是对于存储或传输安全描述符信息很有用。

1941 0

使用OAuth 2.0访问谷歌的API

它一般是要求最佳实践作用域递增，在当时的访问是必需的，而不是前面。例如，在用户按下“购买”按钮要支持购买一个应用程序不应该要求谷歌钱包访问; 看到增量授权。 3.发送令牌的API访问。...此外，它是很好的休息的做法，以避免造成不必要的URI参数的名称。访问令牌仅适用于所描述的一组操作和资源的scope令牌请求。...同样，在企业的情况下，你的应用程序可以请求一些资源委派访问。对于这些类型的服务器到服务器交互，你需要一个服务帐户，这是属于你的应用程序，而不是对个人最终用户的账户。...例如，在G套房管理控制台设定政策来限制摹套房最终用户的共享文件的域之外并不适用于服务帐户的能力。...用户更改密码，并刷新令牌包含Gmail的作用域。用户帐户已超过批准（现场）刷新令牌的最大数量。目前的每个客户每个用户帐户50个刷新令牌限制。

4.4K1 0

非官方Mimikatz指南和命令参考

MISC::AddSid –添加到用户帐户的SIDHistory.第一个值是目标帐户，第二个值是帐户/组名称(或SID).移至SID：自2016年5月6日起修改....AD计算机帐户的上下文中运行的服务.与kerberos::list不同，sekurlsa使用内存读取，并且不受密钥导出限制.sekurlsa可以访问其他会话(用户)的票证....TOKEN::List –列出系统的所有令牌 TOKEN::Elevate –模拟令牌.用于将权限提升为SYSTEM(默认)或在框中找到域管理员令牌 TOKEN::Elevate / domainadmin...由于黄黄金票据证是身份验证票证(如下所述的TGT),由于TGT用于获取用于访问资源的服务票证(TGS),因此其范围是整个域(以及利用SID历史记录的AD林).黄黄金票据证(TGT)包含用户组成员身份信息.../krbtgt-域KDC服务帐户(KRBTGT)的NTLM密码哈希.用于加密和签名TGT.

2.2K2 0

OAuth 2.0身份验证

，对于授权代码授予类型，该值应为代码 scope：用于指定客户端应用程序要访问的用户数据的子集，这些可能是OAuth提供程序设置的自定义作用域，或者是OpenID连接规范定义的标准化作用域，稍后我们将详细介绍...OAuth提供程序的帐户，例如，用户的社交媒体帐户,之后它们将显示客户机应用程序希望访问的数据列表，这基于授权请求中定义的作用域，用户可以选择是否同意此访问，需要注意的是，一旦用户批准了客户机应用程序的给定范围...Access token grant OAuth服务将验证访问令牌请求，如果一切都如预期的那样，服务器将通过授予客户端应用程序一个具有所请求作用域的访问令牌来作出响应： { "access_token...当攻击者控制其客户端应用程序时，他们可以将另一个作用域参数添加到包含其他概要文件作用域的代码/令牌交换请求中：范围升级:授权码流对于授权码授予类型，用户的数据将通过安全的服务器到服务器通信进行请求和发送...例如，假设攻击者的恶意客户端应用程序最初使用openid email作用域请求访问用户的电子邮件地址，用户批准此请求后，恶意客户端应用程序将收到授权代码，当攻击者控制其客户端应用程序时，他们可以将另一个作用域参数添加到包含其他概要文件作用域的代码

3.3K1 0

GitHub中公开的敏感数据

研究人员发现，组织对公共GitHub帐户的使用以及DevOps泄漏敏感信息的可能性很高，因此数据丢失或持续破坏事件的风险增加。...这意味着这些可能是工程师在其自己的生产环境中使用的密码。另外，相比之下，研究人员仅发现了27个独特的实例，其中使用了可变密码输入，表明临时或动态密码使用情况。...在最坏的情况下，如果在云环境中使用管理特权创建了API密钥，则使用该API密钥的任何人都将具有对云帐户的完全访问权限。确实发生了合法的API密钥公开。以UpGuard报告的事件为例。...发现凭据和API密钥与商业组织拥有的根帐户相关联。与密码一样，密钥和令牌也必须受到保护和控制，以确保只有合法用户才能知道它们。任何丢失或可能泄漏的API密钥或OAuth令牌应立即撤销并重新发布。...实施密码安全策略，强制使用复杂密码实施发布政策，以规范和防止通过外部资源共享内部敏感数据。使用GitHub的企业帐户功能来确保更仔细地审查公共共享做法。

1.6K2 0

Github敏感数据分析

很少有数据存储库可以比GitHub更广泛地应用于代码开发生产，然而，正如老话所说的“速度越快，风险越大”。研究人员发现公共GitHub帐户具有极高泄露敏感信息的可能，数据丢失和持续泄露事件风险增加。...每个帐户每小时限制5000个请求，API允许研究人员查看和扫描推送到Github的任何公共域内可用的文件，例如公共共享文件。...由于API key和OAuth令牌为用户提供对指定云环境的直接访问，如果API密钥或OAuth令牌落入其他人手中，攻击者可能会模拟登陆并获得对环境的控制。...如果在云环境中创建了具有管理权限的API密钥，使用该API密钥的任何人都可以完全访问云帐户。...总结研究人员发现用户将敏感数据上传到GitHub，这些敏感数据包括：硬编码用户名和密码、硬编码的API密钥、硬编码OAuth令牌、内部服务和环境配置研究人员强烈建议，彻底扫描从公共存储库（如GitHub

2K2 0

2021.8.13起，Github要求使用基于令牌的身份验证

字面大体意思就是你原先的密码凭证从2021年8月13日开始就不能用了，必须使用个人访问令牌（personal access token），就是把你的密码替换成token！...这些功能使攻击者更难获取在多个网站上重复使用的密码并使用它来尝试访问您的 GitHub 帐户。...从 2021 年 8 月 13 日开始，我们将在对 Git 操作进行身份验证时不再接受帐户密码，并将要求使用基于令牌（token）的身份验证，例如个人访问令牌（针对开发人员）或 OAuth 或 GitHub...您也可以继续在您喜欢的地方使用 SSH 密钥。好处令牌（token）与基于密码的身份验证相比，令牌提供了许多安全优势：唯一性：令牌特定于 GitHub，可以按使用或按设备生成。...可撤销：可以随时单独撤销令牌，而无需更新未受影响的凭据。有限性：令牌可以缩小范围以仅允许用例所需的访问。随机性：令牌不需要记住或定期输入的更简单密码可能会受到的字典类型或蛮力尝试的影响。

2.3K4 0

Spring Security OAuth 2开发者指南

实施OAuth 2.0资源服务器需要以下过滤器：将OAuth2AuthenticationProcessingFilter用于加载给定的认证访问令牌请求的认证。...请注意以下事项：当创建访问令牌时，必须存储身份验证，以便接受访问令牌的资源可以稍后引用。访问令牌用于加载用于授权其创建的认证。...当然，您还可以实现自己的规则，将作用域映射到角色并安装自己的版本OAuth2RequestFactory。...受保护的资源具有以下属性： id：资源的id。该id仅由客户端用于查找资源; 它从未在OAuth协议中使用。它也被用作bean的id。 clientId：OAuth客户端ID。...要使用用户令牌（授权代码授权），您应该考虑使用创建一些请求和会话作用域上下文对象的@EnableOAuth2Client配置（或XML等效项），以便不同用户的请求在运行时不会相冲突

1.9K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭