Tag: github

GitHub token 校验不要依赖固定长度，尤其不要写类似 ghs_[A-Za-z0-9]{36} 的正则。

GitHub 官方文档列出的 token 前缀包括：

• ghp_: classic personal access token
• github_pat_: fine-grained personal access token
• gho_: OAuth access token
• ghu_: GitHub App user access token
• ghs_: GitHub App installation access token
• ghr_: GitHub App refresh token

2026-04-27 起，GitHub App installation token 会逐步切到 stateless 格式，ghs_ token 会变成类似 ghs_APPID_JWT 的结构，长度约 520 字符且会变化。JWT 部分也不应该由客户端解析或校验语义。

如果业务只是想拦住明显错误的输入，可以只做轻量格式检查：

const githubTokenRe = /^(?:(?:ghp|gho|ghu|ghs|ghr)_|github_pat_)[A-Za-z0-9_.-]+$/;

这个校验只确认是 GitHub 已知 token 前缀，并允许 JWT 常见的 . 和 -。真正有效性仍然应该交给 GitHub API 返回 401 Bad credentials 之类的结果判断。

更稳的原则：

• token 当作 opaque string，不解析内部内容
• 不限制固定长度
• 存储字段至少能放下 520 字符以上
• Actions 里优先使用内置 GITHUB_TOKEN，跨 repo 或特殊权限才使用 PAT 或 GitHub App

参考：

1. GitHub Docs: GitHub’s token formats
2. GitHub Changelog: Notice about upcoming new format for GitHub App installation tokens

Software Heritage Archive 是一个代码档案库，可以下载已被删除的 GitHub、GitLab 等平台的代码。

参考：https://til.simonwillison.net/github/software-archive-recovery

今天学到了可以在对应的 pr 中添加 .diff 直接查看 diff, 然后可以将链接直接丢给在线的 ai 大模型给你 review

比如 https://github.com/zhaochunqi/git-open/pull/24 可以使用 https://github.com/zhaochunqi/git-open/pull/24.diff, 然后提交给大模型说：review https://github.com/zhaochunqi/git-open/pull/24.diff 即可，我看了下纯文本，感觉复制粘贴都行。

参考链接：Get an AI code review in 10 seconds

使用 https://github.com/marketplace/actions/create-pull-request 的时候遇到无法创建 pr 的问题，需要做如下配置：

1. 检查仓库设置

请访问：如：https://github.com/zhaochunqi/dns/settings/actions (替换成你自己的) 找到 “Workflow permissions” 部分，确保：

• ✅ 选择 “Read and write permissions”
• ✅ 勾选 “Allow GitHub Actions to create and approve pull requests”

2. workflow 中添加

permissions:
  contents: write
  pull-requests: write

github 中有一些垃圾钓鱼信息会 @ 你，在 官方 处理之后，你的 github 信息中的 notification 由于已经不存在了导致无法正常清理。

解决方法如上如：gh api notifications -X PUT -F last_read_at=2025-09-24 这样即可。

来源