为什么 PyPI 推荐使用 API 个令牌?
Why are API tokens recommended with PyPI?
来自 PyPI 上关于 API 令牌 (link) 的帮助文本:
We strongly recommend you authenticate with an API token where possible.
这是为什么?如果我是唯一一个使用 Python 软件包的人,使用我的 login/password 会有什么问题?
- 如果您在其他地方重复使用您的密码(您不应该这样做,但人们会这样做),那么如果 PyPI 被盗用,您的其他帐户也可能被盗用。
- 使用您的用户名和密码可以授予您所有项目的权限,但令牌可以仅限于单个项目。
- 您可以在多台机器上使用多个令牌,因此如果一个令牌被泄露,您可以撤销它而不影响其他机器或项目。
- PyPI可以保证代币是高熵的。
来自 PyPI 上关于 API 令牌 (link) 的帮助文本:
We strongly recommend you authenticate with an API token where possible.
这是为什么?如果我是唯一一个使用 Python 软件包的人,使用我的 login/password 会有什么问题?
- 如果您在其他地方重复使用您的密码(您不应该这样做,但人们会这样做),那么如果 PyPI 被盗用,您的其他帐户也可能被盗用。
- 使用您的用户名和密码可以授予您所有项目的权限,但令牌可以仅限于单个项目。
- 您可以在多台机器上使用多个令牌,因此如果一个令牌被泄露,您可以撤销它而不影响其他机器或项目。
- PyPI可以保证代币是高熵的。