Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
在 GitLab 项目中,项目中拥有 master 权限的人可以在项目 --> 设置 --> 集成 --> 钩子 --> 编辑路径中查看管理员的访问令牌。
钩子: 编辑钩子:
该管理员的访问令牌如何对其他用户可见?如何隐藏这个?
这完全违背了代币的目的,因此没有这样的功能。
代币在任何情况下都应该是唯一的,并且授予的权利尽可能小。
如果您使用管理员的个人令牌作为 webhook 机密,则目标将能够读取,在最好的情况下,您的所有用户数据。如果您为令牌启用 API 访问,它可以随意更改实例,例如。删除项目。
TLDR:不要多次使用相同的令牌。
编辑钩子:
