This document was written by AI and has been manually reviewed.
个人访问令牌
个人访问令牌(PAT)允许您在无需经历 OAuth 授权流程的情况下对 API 请求进行鉴权。它非常适合脚本、CI 流水线及无法进行交互式登录的集成场景。
PAT 在个人资料 → 访问令牌(/tokens)页面进行管理。
创建令牌
- 点击新建令牌。
- 输入一个描述性的名称(例如:
CI 部署脚本、家庭自动化)。 - 选择有效期:7、30、90 或 365 天——或留空表示永久有效。
- 勾选令牌所需的权限范围。请按最小权限原则进行选择。
- 点击生成令牌。
- 立即复制令牌——令牌仅显示一次,之后无法再次查看。
使用令牌
PAT 与 OAuth 访问令牌使用相同的 Authorization: Bearer 请求头:
http
Authorization: Bearer prism_pat_<token>使用 curl 的示例:
bash
curl https://your-prism-domain/api/oauth/me/profile \
-H "Authorization: Bearer prism_pat_<token>"Prism 通过 prism_pat_ 前缀识别 PAT,并在 personal_access_tokens 表中进行验证,而非 OAuth 令牌表。
权限范围参考
完整的可用权限范围列表及其说明,请参阅管理员指南 → OAuth 权限范围参考。
注意:管理员范围(admin:*)对 PAT 可用,但仅在令牌所有者具有 role = admin 时生效。
撤销令牌
在列表中点击对应令牌旁边的撤销按钮。撤销立即生效——任何使用该令牌的进行中请求都将返回 403。
安全建议
- 仅申请满足您用例所需的最小权限范围。
- 尽量设置有效期。无有效期的令牌将永久有效,直到手动撤销。
- 将令牌存储在环境变量或密钥管理器中,不要写入源代码。
- 定期轮换令牌,尤其是在共享 CI 环境中。
- 如果令牌泄露,请立即在个人资料 → 访问令牌页面将其撤销。
与 OAuth 访问令牌的区别
| 个人访问令牌 | OAuth 访问令牌 | |
|---|---|---|
| 创建方式 | 用户(通过 UI 或 API) | OAuth 授权流程 |
| 前缀 | prism_pat_ | (无) |
| 权限范围 | 创建时由用户选择 | 在同意屏幕由用户授予 |
| 刷新 | 不支持——撤销后重新创建 | 支持,通过 offline_access |
| 撤销方式 | 个人资料 → 访问令牌页面 | 个人资料 → 已授权应用页面 |
| 适用场景 | 脚本、CI、自动化 | 第三方应用 |