Bienvenido a Platzi

Clase 30 - Cómo usar Tokens en GitHub para acceso seguro a repositorios privados

• ¿Podemos compartir con otra persona el acceso a un repositorio privado?

  • Sí.

• ¿Cómo se llama la herramienta que nos brinda GitHub para poder darle a una persona acceso a un repositorio privado?

  • Tokens.

• ¿Cómo podemos crear un Token en GitHub?

  • Lo primero que debemos de hacer es ir a nuestra imagen de perfil y dar click sobre ella. Esto nos despliega un menú.
  • En el menú desplegable debemos de buscar la opción “Settings”.
  • Una vez estemos en la página de “Settings” debemos desplazarnos hasta el final del menú lateral izquierdo buscando la opción “Developer settings”.
  • Lo anterior nos llevará a una nueva página que nos mostrará 3 cosas
    • GitHub Apps: Las apps que tienen permiso de acceso a nuestra cuenta de GitHub.
    • OAUth Apps: Apps que pueden ingresar a nuestra cuenta usando cierto modo de autenticación.
    • Personal acces tokens: Que es la opción que nos interesa para crear nuestro Token. Damos click en ella.
  • Al dar click en la opción de “Personal access Tokens” nos despliega dos opciones para crear un Token. En nuestro caso debemos de dar click en la opción que dice “Tokens (Classic)”.
  • Al seleccionar la opción anterior nuevamente seremos dirigidos a una nueva página. En esta ocasión debemos de mover nuestro cursor hacia el lado derecho de la pantalla buscando un elemento de drop-down o lista desplegable que dice “Generate new token”. En esta lista debemos de seleccionar la opción que dice “Generate new token (classic)”.
  • Finalmente llegaremos a una nueva página en donde configuraremos nuestro Token.
    • Lo primero que debemos de hacer es asignar un nombre que identifique a dicho Token.
    • Elegimos el periodo de expiración del Token.
    • Elegir los privilegios que queremos que el token otorgue a la persona que tendrá acceso a nuestro repositorio privado.
  • Luego de configurar nuestro Token solo queda dar click en el botón “Generate token” para terminar de crearlo.

• ¿Qué debemos de tener en cuenta cuando llegamos a la página en donde nos muestran que nuestro Token fue creado?

  • Una vez hayamos creado el Token, lo que debemos de hacer inmediatamente es copiar en algún lugar el Token. Esto es porque GitHub no vuelve a dejar ver el contenido de este Token nunca más.

• ¿Qué tipos de Tokens existen en GitHub?

  • Fine-grained Tokens.
  • Tokens (Classic).

• ¿Cuáles son las diferencias entre Un Fine-grained Token y un Classic Token?

  • El Fine-grained Token tiene más configuraciones de seguridad que el Classic Token.
  • En los Fine-grained Token no podemos seleccionar quitar la fecha de expiración del Token
  • Con los Fine-grained Token podemos tenemos la opción de configurar si queremos que la persona pueda o no acceder a más repositorios.
  • Con los Fine-grained Token también podemos configurar accesos a la cuenta propia.
  • El contenido del Fine-grained Token es más grande que el del Classic Token.

• ¿Qué buena práctica podemos seguir a la hora de nombrar un Token de GitHub?

  • Agregar en el nombre del token el nombre del usuario al que le vamos a compartir el token o también podemos agregar el nombre del repositorio al que tendrá acceso el Token.

• ¿Cuáles son los rangos de tiempo que tienen los Tokens clásicos de GitHub?

  • 7 días.
  • 30 días.
  • 60 días.
  • 90 días.
  • Personalizable
  • Sin fecha de expiración.

• ¿Entre los rangos de expiración que tienen los Tokens clásicos en GitHub, cuál no deberíamos elegir y por qué?

  • No deberíamos de elegir la opción “Sin fecha de expiración” ya que esto haría que en cualquier momento una persona mal intencionada que logre conseguir el token podría entrar en nuestro repositorio ya que este nunca se borrara.

• ¿Qué opciones de acceso a repositorios podemos otorgar usando un Fine-grained Token?

  • Un acceso de solo lectura a todos los repositorios públicos de nuestra cuenta.
  • Acceso total a todos los repositorios
  • Acceso a uno o varios repositorios que nosotros escojamos.

• ¿Qué debemos de hacer cuando no copiamos el Token que nos muestran en la página de confirmación de la creación del Token?

  • Eliminar el que creamos pero no tenemos el Token y crear uno nuevo, pero esta vez asegurándonos de copiar el contenido del Token

• ¿Qué buena práctica deberíamos de seguir cuando la persona a la que le compartimos un Token terminó su trabajo?

  • Eliminar el Token.

• ¿Cómo podemos eliminar un Token en GitHub?

  • Desde la página de “Personal access tokens” veremos una lista de los token creados. Lo unico que debemos de hacer es dar click en el botón que aparece al lado izquierdo del Token y que dice “Delete”.

• ¿Sí una persona accede a un repositorio privado usando un Token lo hace en calidad de colaborador?

  • No. Entra como un usuario común y corriente sin necesidad de que los agreguemos como un colaborador del proyecto.

• ¿Si un usuario tiene un Token de algún repositorio nuestro puede acceder a cualquier lugar del repositorio o a otros repositorios?

  • No, el usuario con el Token sólo podrá acceder y hacer lo que nosotros configuremos en el Token antes de compartirlo, además de solo poder acceder a dicho repositorio.

• ¿Qué debe de proporcionar un usuario que intenta clonar un repositorio privado pero que ya cuenta con un token y en qué momento debe darlo?

  • El usuario deberá de escribir el contenido del Token en el momento que se le pida una passpheres para lograr clonar el repo en su entorno local, además de su nombre de usuario en GitHub.

• ¿En qué casos de uso podemos usar los Token de GitHub?

  • Acceder de manera fácil a nuestros repositorios desde cualquier equipo.
  • Automatizar tareas con GitHub Actions.
  • Para crear Workflows personalizados.
  • En Scripts personalizados.