this link에 따르면 GitHub 공개 리소스에만 액세스 할 수있는 OAuth 토큰의 범위가 있습니다.제한된 GitHub API 개인 토큰 게시
(더 범위) : 보조금은 읽기 전용 공공 정보에 대한 접근은
는 여전히이 개인 액세스 토큰을 포함하는 것이 안전하지 않습니다 (공용 사용자 프로필 정보, 공공 저장소 정보 및 기 스트 포함되지 않습니다) 자바 스크립트 클라이언트 측 코드?
VonC의 대답은 정확하지만, 토큰 공공 만들기의 주요 위험은 없습니다 :
악의적 인 사람이 할 수 있습니다 API 할당량을 배출 할 수 또는 토큰 또는 GitHub의 계정을 초래할 수 의도적으로 남용 토큰, 막힌. 내가 GitHub의 지원에서받은 응답 아래
찾기 :
출판 등 scopeless 토큰은 토큰 만 이미 공개 정보를 가져 오는 데 사용할 수 있습니다 있다는 점에서 불안하지 않습니다 - - 개인 데이터를 가져 오는 데 사용할 수 없으며 을 사용하여 데이터를 수정할 수 없습니다.
그러나 모든 토큰이 동일한 GitHub API 할당량 (https://developer.github.com/v3/#rate-limiting)을 공유한다는 점에서 안전하지 않을 수 있습니다. 따라서 누군가 이 토큰을 가져 와서 API 요청을 많이하면 - 할당량이 유출되고 승인 된 의 다른 모든 토큰 및 응용 프로그램은 할당량이 새로 고침 될 때까지 기다려야합니다.
또한, 그런 사람이 당신의 토큰 시간의 짧은 기간에 API 요청을 많이 만드는 경우 - 그들은 우리의 남용 속도 제한 (https://developer.github.com/guides/best-practices-for-integrators/#dealing-with-abuse-rate-limits) 를 실행할 수 있으며 그들이 진정되지 않는 경우 - 그건 가능하면 토큰 또는 전체 계정을 차단하여 Google의 끝 부분 인 (및 다른 사용자)의 문제를 예방할 수 있습니다.
안전하지는 않지만 관리 측면을 인정해야합니다.
어떤 이유에서든 계정이 삭제되거나 토큰을 취소하면 무효화됩니다. 즉, 업데이트를 게시 할 때까지는 자바 클라이언트 코드의 모든 사용자가 중단됩니다.
즉, this repo for instance에 사용 된이 접근법 ('범위 없음'PAT 포함)을 볼 수 있습니다.
내 의견보다 정확한 답변. +1 – VonC