个人访问令牌

个人访问令牌 (PATs) 为用户提供了一种安全的方式来授予访问令牌，而无需使用他们的凭据和交互式登录。这对于需要以编程方式访问资源的 CI/CD、脚本或应用程序非常有用。

管理个人访问令牌

使用 Console

你可以在 Console 的用户详情页面管理个人访问令牌。在“认证 (Authentication)”卡片中，你可以看到个人访问令牌的列表并创建新的令牌。

使用 Management API

在设置 Management API 后，你可以使用 API endpoints 来创建、列出和删除个人访问令牌。

使用 PATs 授予访问令牌

创建 PAT 后，你可以通过使用令牌交换端点将其用于向你的应用程序授予访问令牌。

请求

应用程序使用 HTTP POST 方法向租户的令牌端点发起令牌交换请求，使用特殊的授权类型。以下参数以 application/x-www-form-urlencoded 格式包含在 HTTP 请求实体中。

1. client_id: 必需。应用程序的客户端 ID。
2. grant_type: 必需。此参数的值必须是 urn:ietf:params:oauth:grant-type:token-exchange，表示正在执行令牌交换。
3. resource: 可选。资源指示器，与其他令牌请求相同。
4. scope: 可选。请求的权限，与其他令牌请求相同。
5. subject_token: 必需。用户的 PAT。
6. subject_token_type: 必需。在 subject_token 参数中提供的安全令牌类型。此参数的值必须是 urn:logto:token-type:personal_access_token。

响应

如果令牌交换请求成功，租户的令牌端点将返回一个代表用户身份的访问令牌。响应在 HTTP 响应实体中以 application/json 格式包含以下参数。

1. access_token: 必需。用户的访问令牌，与其他令牌请求如 authorization_code 或 refresh_token 相同。
2. issued_token_type: 必需。发行的令牌类型。此参数的值必须是 urn:ietf:params:oauth:token-type:access_token。
3. token_type: 必需。令牌的类型。此参数的值必须是 Bearer。
4. expires_in: 必需。访问令牌的有效期（以秒为单位）。
5. scope: 可选。访问令牌的权限。

令牌交换示例

POST /oidc/token HTTP/1.1
Host: tenant.logto.app
Content-Type: application/x-www-form-urlencoded
Authorization: Basic <base64(client-id:client-secret)>

grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Atoken-exchange
&scope=profile
&subject_token=pat_W51arOqe7nynW75nWhvYogyc
&subject_token_type=urn%3Alogto%3Atoken-type%3Apersonal_access_token

HTTP/1.1 200 OK
Content-Type: application/json

{
  "access_token": "eyJhbGci...zg",
  "issued_token_type": "urn:ietf:params:oauth:token-type:access_token",
  "token_type": "Bearer",
  "expires_in": 3600,
  "scope": "profile"
}

示例访问令牌负载：

{
  "jti": "iFtbZBeh2M1cTTBuKbHk4",
  "sub": "123",
  "iss": "https://tenant.logto.app/oidc",
  "exp": 1672531200,
  "iat": 1672527600,
  "scope": "profile",
  "client_id": "client-id"
}