使用个人访问令牌

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

可以使用个人访问令牌（PAT）作为备用密码向 Azure DevOps 进行身份验证。 本文介绍如何为 Azure DevOps 创建、使用、修改和撤销 PAT。

以下视频演示如何创建和使用 PAT。

关于 PAT

个人访问令牌包含 Azure DevOps 的安全凭据。 PAT 可标识你、你可访问的组织和访问范围。 因此，它们和密码一样重要，应该以同样的方式对待。

如果使用 Microsoft 工具，则 Microsoft 帐户 (MSA) 或 Microsoft Entra ID 是可接受且得到良好支持的方法。 但是，如果使用的是不支持 Microsoft 或 Microsoft Entra 帐户的第三方工具，或者不想向该工具提供主凭据，请使用 PAT 来限制风险。

可以通过以下方法之一创建和管理 PAT：

• 用户设置中的用户界面，本文将对此进行详细描述
• 通过 PAT 生命周期管理 API

若要为非 Microsoft 工具设置 PAT，请使用 Git 凭据管理器 或手动创建它们。 建议查看身份验证 指南 ，以帮助你选择正确的身份验证机制。 对于需要不那么强大的解决方案的小型项目，PAT 是一个简单的替代方法。 除非用户使用凭据管理器，否则他们必须每次都输入其凭据。

创建 PAT

1. (https://dev.azure.com/{yourorganization}) 登录到组织。

2. 在主页中，打开用户设置 ，然后选择“个人访问令牌”。

   

3. 选择“+ 新建令牌”。

   

4. 为令牌命名，选择要在其中使用令牌的组织，然后将令牌设置为在设置天数后自动过期。

   

5. 选择 此令牌的范围 以授权特定 任务。

   例如，若要创建令牌，使生成和发布代理能够向 Azure DevOps Services 进行身份验证，请将令牌的范围限制为代理池（读取和管理）。 若要读取审核日志事件并管理和删除流，请选择“ 读取审核日志”，然后选择“ 创建”。

   

   注意

   你可能会受到限制，无法创建全范围的 PAT。 如果是这样，则表明 Microsoft Entra ID 中的 Azure DevOps 管理员已启用一项策略，仅限您访问特定的自定义范围集。 有关详细信息，请参阅 使用策略管理 PAT/限制创建全作用域 PAT。 对于自定义的 PAT，访问组件治理 API vso.governance所需的范围在 UI 中不可选择。

6. 完成后，复制令牌并将其存储在安全位置。 出于安全原因，它不会再次显示。

   

警告

像对待和使用密码一样对待和使用 PAT，并使其保密。

在 Azure DevOps 中进行身份验证所需的任何位置使用 PAT。

重要

对于 Microsoft Entra ID 支持的组织，可以使用新 PAT 登录 90 天，否则被视为非活动状态。 有关详细信息，请参阅 条件访问的用户登录频率。

通知

用户在 PAT 的生存期内收到两条通知 - 一个在创建时收到一个通知，另一个在过期前 7 天收到。

创建 PAT 后，会收到类似于以下示例的通知。 此通知确认已将 PAT 添加到组织。

下图显示了 PAT 过期前的七天通知示例。

意外通知

如果收到意外的 PAT 通知，管理员或工具可能代表你创建了 PAT。 请参阅以下示例。

• 通过git.exe连接到 Azure DevOps Git 存储库时。 它创建一个令牌，其显示名称类似于“git： https://MyOrganization.visualstudio.com/ on MyMachine”。
• 当你或管理员设置Azure App 服务 Web 应用部署时，它会创建一个令牌，其显示名称类似于“服务挂钩：：Azure App 服务：：部署 Web 应用”。
• 当你或管理员将 Web 负载测试设置为管道的一部分时，它会创建一个带有显示名称（如“WebAppLoadTestCDIntToken”）的令牌。
• 设置 Microsoft Teams Integration Messaging 扩展后，它会创建一个带有显示名称（如“Microsoft Teams 集成”）的令牌。

警告

如果你认为 PAT 存在错误，建议 撤销 PAT。 然后，更改密码。 作为 Microsoft Entra 用户，请与管理员检查，查看组织是否从未知源或位置使用。 另请参阅有关在 PAT 中意外检查公共 GitHub 存储库的常见问题解答。

使用 PAT

PAT 是你的标识，在使用它时表示你，就像密码一样。

Git

Git 交互需要用户名，该用户名可以是空字符串以外的任何内容。 若要将 PAT 与 HTTP 基本身份验证配合使用，请使用Base64-encode$MyPat以下代码块中包含的 PAT。

Windows

在 PowerShell 中，输入以下代码。

$MyPat = 'yourPat'
$headerValue = "Authorization: Basic " + [Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes(":" + $MyPat))
$env:GIT_AUTH_HEADER = $headerValue

git --config-env=http.extraheader=GIT_AUTH_HEADER clone https://dev.azure.com/yourOrgName/yourProjectName/_git/yourRepoName

若要使令牌更安全，请使用凭据管理器，这样就不必每次都输入凭据。 建议使用 Git 凭据管理器。 需要适用于 Windows 的 Git。

Linux/macOS

在 Bash 中，输入以下代码。

MY_PAT=yourPAT # replace "yourPAT" with "PatStringFromWebUI"
HEADER_VALUE=$(printf "Authorization: Basic :%s" "$MY_PAT" | base64)

git --config-env=http.extraheader=HEADER_VALUE clone https://dev.azure.com/yourOrgName/yourProjectName/_git/yourRepoName

若要使令牌更安全，请使用凭据管理器，这样就不必每次都输入凭据。 建议使用 Git 凭据管理器。

现有存储库

对于现有存储库，如果已使用用户名添加源，请先运行以下命令。

git remote remove origin

否则，请运行以下命令。

git remote add origin https://<PAT>@<company_machineName>.visualstudio.com:/<path-to-git-repo> path to git repo = <project name>/_git/<repo_name> git push -u origin --all

在代码中使用 PAT

可以在代码中使用 PAT。

Windows

如果要通过 HTTP 标头提供 PAT，请先将其转换为 Base64 字符串。 以下示例演示如何使用 C# 转换为 Base64。

Authorization: Basic BASE64_USERNAME_PAT_STRING

然后，可以采用以下格式将生成的字符串作为 HTTP 标头提供。

以下示例使用 C# 中的 HttpClient 类 。

public static async void GetBuilds()
{
    try
    {
        var personalaccesstoken = "PATFROMWEB";

        using (HttpClient client = new HttpClient())
        {
            client.DefaultRequestHeaders.Accept.Add(
                new System.Net.Http.Headers.MediaTypeWithQualityHeaderValue("application/json"));

            client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic",
                Convert.ToBase64String(
                    System.Text.ASCIIEncoding.ASCII.GetBytes(
                        string.Format("{0}:{1}", "", personalaccesstoken))));

            using (HttpResponseMessage response = client.GetAsync(
                        "https://dev.azure.com/{organization}/{project}/_apis/build/builds?api-version=5.0").Result)
            {
                response.EnsureSuccessStatusCode();
                string responseBody = await response.Content.ReadAsStringAsync();
                Console.WriteLine(responseBody);
            }
        }
    }
    catch (Exception ex)
    {
        Console.WriteLine(ex.ToString());
    }
}

提示

使用变量时，请在字符串开头添加一个 $ ，如以下示例所示。

public static async void GetBuilds()
{
   try
  {
      var personalaccesstoken = "PATFROMWEB";

      using (HttpClient client = new HttpClient())
       {
           client.DefaultRequestHeaders.Accept.Add(
              new System.Net.Http.Headers.MediaTypeWithQualityHeaderValue("application/json"));

           client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic",
               Convert.ToBase64String(
                   System.Text.ASCIIEncoding.ASCII.GetBytes(
                       string.Format("{0}:{1}", "", personalaccesstoken))));

          using (HttpResponseMessage response = client.GetAsync(
                       $"https://dev.azure.com/{organization}/{project}/_apis/build/builds?api-version=5.0").Result)
           {
               response.EnsureSuccessStatusCode();
               string responseBody = await response.Content.ReadAsStringAsync();
               Console.WriteLine(responseBody);
           }
       }
   }
   catch (Exception ex)
   {
       Console.WriteLine(ex.ToString());
   }
}

Linux/macOS

以下示例使用 curl 获取生成列表。

curl -u :{PAT} https://dev.azure.com/{organization}/_apis/build-release/builds

代码正常工作时，最好从基本身份验证切换到 OAuth。

有关如何使用 PAT 的详细信息和示例，请参阅以下文章：

• Git 凭据管理器
• REST API
• Mac 上的 NuGet
• 报告客户端
• Azure DevOps CLI 入门。

修改 PAT

可以重新生成或扩展 PAT，并修改其 范围。 重新生成后，不再授权上一个 PAT。

1. 在主页中，打开用户设置，然后选择“ 配置文件”。

   

2. 在“安全性”下，选择“ 个人访问令牌”。 选择要修改的令牌，然后选择 “编辑”。

   

3. 编辑令牌名称、令牌过期或与令牌关联的访问范围，然后选择“ 保存”。

   

撤销 PAT

出于各种原因，可以随时撤销 PAT。

1. 在主页中，打开用户设置，然后选择“ 配置文件”。

   

2. 在“安全性”下，选择“ 个人访问令牌”。 选择要为其撤消访问权限的令牌，然后选择“ 撤销”。

   

3. 在确认对话框中选择“ 撤销 ”。

   

相关文章

• 关于安全性、身份验证和授权
• Azure DevOps 的默认权限和访问权限
• 撤销用户 PAT（面向管理员）
• 在 Azure DevOps 中管理服务主体和托管标识

常见问题

问：如果用户帐户被禁用，PAT 会发生什么情况？

答：从 Azure DevOps 中删除用户后，PAT 在 1 小时内失效。 如果组织已连接到 Microsoft Entra ID，则 PAT 也会在 Microsoft Entra ID 中失效，因为它属于用户。 建议用户将其 PAT 轮换到另一个用户或服务帐户，以使服务保持运行。

问：是否有办法通过 REST API 续订 PAT？

答：是的，可以使用 PAT 生命周期管理 API 续订、管理和创建 PAT。 有关详细信息，请参阅使用 REST API 管理 PAT 和常见问题解答。

问：是否可以对所有 Azure DevOps REST API 使用基本身份验证？

答：否。 可以将基本身份验证用于大多数 Azure DevOps REST API，但 组织和配置文件 仅支持 OAuth。 有关详细信息，请参阅 使用 REST API 管理 PAT。

问：如果我意外地将 PAT 检查 GitHub 上的公共存储库，会发生什么情况？

答：Azure DevOps 扫描检查 GitHub 上的公共存储库中的 PAT。 当我们找到泄露的令牌时，我们立即向令牌所有者发送详细的电子邮件通知，并将事件记录到 Azure DevOps 组织的 审核日志。 除非你禁用了 自动撤销泄露的个人访问令牌 策略，否则我们立即撤销泄露的 PAT。 我们鼓励受影响的用户通过撤销泄露的令牌并将其替换为新令牌来立即缓解此问题。

有关详细信息，请参阅 自动撤销泄露的 PAT。

问：是否可以使用个人访问令牌作为 ApiKey，使用 dotnet/nuget.exe 命令行将 NuGet 包发布到 Azure Artifacts 源？

答：否。 Azure Artifacts 不支持将个人访问令牌作为 ApiKey 传递。 在使用本地开发环境时，建议安装 Azure Artifacts 凭据提供程序，以对 Azure Artifacts 进行身份验证。 有关详细信息，请参阅以下示例：dotnet 和 NuGet.exe。 如果要使用 Azure Pipelines 发布包，请使用 NuGet 身份验证 任务通过源 示例进行身份验证。

问：为什么我的 PAT 停止工作？

答：PAT 身份验证要求你定期使用完整的身份验证流登录到 Azure DevOps。 每 30 天足够多一次，但根据 Microsoft Entra 配置，可能需要更频繁地登录。 如果 PAT 停止工作，请先尝试登录到组织，确保完成完整的身份验证提示。 如果 PAT 在该之后仍然不起作用，检查查看 PAT 是否已过期。