个人访问令牌目前处于封闭测试阶段,且需通过功能开关启用。联系支持团队申请访问权限。SSO/企业账户无法使用 PAT。
概述
| 令牌类型 | 认证为 | 身份 | 权限 |
|---|---|---|---|
| Service User API Key | 服务用户 (非人类) | 服务用户的身份 | 服务用户被分配的角色 |
| Personal Access Token | 用户 (真人) | 你的用户身份 | 你的权限和 org 成员身份 |
cog_ 前缀格式。这两种令牌类型在 Authorization 请求头中的用法完全相同:
何时使用 PAT
- 个人脚本和工具 — 无需共享服务用户,即可自动化你自己的工作流程
- 本地开发 — 使用你自己的账户测试 API 集成
- 短期自动化 — 应归因于你的一次性脚本
工作原理
- 在你的账户设置中生成一个 PAT
- 该令牌以
cog_开头,且仅在创建时显示一次 - 在
Authorization请求头中使用该令牌——用法与服务用户 API key 完全相同 - 每次 API 调用都会以你的用户账户身份进行身份验证——你的权限、成员身份和审计记录都会生效
与服务用户 API key 的关键区别
| 方面 | 服务用户 API key | 个人访问令牌 |
|---|---|---|
| 身份 | 非人类服务用户 | 你的真人用户账户 |
| 权限 | 由分配的 RBAC 角色控制 | 继承你现有的权限 |
| 审计记录 | 操作归属于服务用户 | 操作归属于你 |
| 密钥管理 | 由 org/enterprise 管理员管理 | 由你本人管理 |
| 使用场景 | 生产自动化、CI/CD | 个人脚本、本地工具 |
| 可用性 | 正式可用 | 封闭测试 |
局限性
- 封闭测试:PAT 需要先为你的账户启用相应功能开关
- 不适用于 SSO/enterprise 账户:目前仅限于非 SSO 账户
- 个人作用域:PAT 绑定到你的个人账户,不能共享
安全注意事项
- 像对待密码一样谨慎保管 PAT——它们可授予对你账户的完全访问权限
- 将 PAT 存储在环境变量或密钥管理服务中,绝不要存放在源代码里
- 如果 PAT 泄露,请立即将其撤销
- 仅使用满足你的使用场景所需的最小作用域
- 对于任何共享或生产环境中的自动化,优先使用服务用户 API key
后续步骤
- 身份验证概述 — 了解完整的身份验证模型
- Teams 快速开始 — 开始使用服务用户