chore: remove global github token

soulteary · soulteary · commit 903bd26b9e38 · 2026-02-17T14:59:58.000+08:00
diff --git a/.gitignore b/.gitignore
@@ -4,6 +4,8 @@ runner-manager
 
 # Runner 数据目录（按需取消注释）
 # runners/
+# 各 runner 目录下的 GitHub 检查 token（若 runners/ 被纳入版本库请取消下一行注释）
+# **/.github_check_token
 
 # 本地配置（若含敏感信息建议加入）
 config.yaml
diff --git a/config.yaml.example b/config.yaml.example
@@ -5,8 +5,6 @@
 server:
     port: 8080
     addr: 0.0.0.0
-github:
-    token: ""
 runners:
     base_path: ./runners
     items: []   # 预置 Runner 列表，也可通过 Web 界面添加
diff --git a/docs/README.md b/docs/README.md
@@ -7,7 +7,7 @@
 | [配置说明](config.md) | `config.yaml` 各字段说明与示例 |
 | [Docker 部署](docker.md) | 镜像构建、运行、挂载与 Make 目标 |
 | [添加 Runner](adding-runner.md) | 从 GitHub 获取 Token、界面添加、多 Runner 同机部署 |
-| [安全与校验](security.md) | 鉴权、路径安全、唯一性约束 |
+| [安全与校验](security.md) | 鉴权、路径安全、唯一性、Token 与敏感文件 |
 | [开发与构建](development.md) | Go 构建、本地开发、API（health/version）、Makefile |
 
 [← 返回项目首页](../README.md)
diff --git a/docs/adding-runner.md b/docs/adding-runner.md
@@ -42,10 +42,10 @@
 
 **使用 Docker 或 DinD 时**：若在「快速添加」中填写了 Token 并提交，服务会**先自动执行安装脚本**（下载并解压 runner 到该目录），再执行**向 GitHub 注册**（`config.sh`，超时 2 分钟）并启动；无需事先手动执行 `install-runner.sh`。若自动安装失败（如网络问题），可按 [Docker 部署](docker.md) 中「Docker/DinD 下自动注册的前提」手动安装后，重新获取 Token 再在界面提交或在该目录下手动执行 `config.sh`。
 
-## 注册结果与定时检查
+## 注册结果与 GitHub 显示检查
 
-- **注册结果**：每次在界面使用 Token 执行注册后，结果会写入该 runner 目录下的 `.registration_result.json`（成功或失败原因），并在列表与详情中显示。
-- **GitHub 显示检查**：服务内建定时任务每 5 分钟检查各 runner 是否已在 GitHub 的 Actions Runners 列表中显示。需在 `config.yaml` 中配置 `github.token`（需 scope：组织用 `admin:org`，仓库用 `repo`）。检查结果写入各 runner 目录的 `.github_status.json`，并在界面「注册 / GitHub」列与详情中展示。
+- **注册结果**：仅使用添加时在表单中填写的 Token（从 GitHub 复制的短期 token）。每次在界面使用 Token 执行注册后，结果会写入该 runner 目录下的 `.registration_result.json`（成功或失败原因），并在列表与详情中显示。
+- **GitHub 显示检查**（可选）：服务内建定时任务约每 5 分钟检查各 runner 是否已在 GitHub 的 Actions Runners 列表中显示。若需此功能，请在该 runner 安装目录下放置 `.github_check_token` 文件，内容为 PAT（需 scope：组织用 `admin:org`，仓库用 `repo`）。检查结果写入各 runner 目录的 `.github_status.json`，并在界面「注册 / GitHub」列与详情中展示。
 
 ## 一台机器多 Runner
 
diff --git a/docs/config.md b/docs/config.md
@@ -12,18 +12,17 @@ cp config.yaml.example config.yaml
 |------|------|------|
 | `server.port` | HTTP 服务端口 | `8080` |
 | `server.addr` | 监听地址；空则仅绑定端口（等价所有接口） | 空 |
-| `github.token` | 预留，用于今后通过 GitHub API 获取 token 等能力 | 当前未使用 |
 | `runners.base_path` | 所有 Runner 安装目录的根路径 | `./runners` |
 | `runners.items` | 预置的 Runner 列表 | 也可通过 Web 界面添加 |
 
+「GitHub 显示检查」所需的 token 仅在各 runner 目录下配置，见 [添加 Runner](adding-runner.md) 中的说明。
+
 ## 示例
 
 ```yaml
 server:
     port: 8080
     addr: 0.0.0.0
-github:
-    token: ""
 runners:
     base_path: ./runners
     items: []
diff --git a/docs/docker.md b/docs/docker.md
@@ -28,7 +28,7 @@ docker run -d --name runner-manager \
 
 - **`-p 8080:8080`**：宿主机端口映射，保证能从本机访问管理界面。
 - **`-v $(pwd)/config.yaml:/app/config.yaml`**：挂载配置文件，修改后重启容器即可生效；不挂载则使用镜像内默认配置，无法持久化。
-- **`-v $(pwd)/runners:/app/runners`**：挂载 Runner 安装目录，Runner 二进制与注册信息都保存在此；不挂载则容器删除后所有 Runner 丢失。
+- **`-v $(pwd)/runners:/app/runners`**：挂载 Runner 安装目录，Runner 二进制与注册信息都保存在此；不挂载则容器删除后所有 Runner 丢失。若需界面「GitHub 显示」状态检查，请在各自 runner 子目录（如 `runners/xxx/`）下放置 `.github_check_token` 文件。
 - 镜像内工作目录为 `/app`，`-config` 默认为 `/app/config.yaml`。`config.yaml` 中 `runners.base_path` 需为 `/app/runners`（或与挂载路径一致）。
 
 ### 前台调试（带 -it）
diff --git a/docs/security.md b/docs/security.md
@@ -14,4 +14,9 @@
 - **添加**：禁止与已有 Runner 同名。
 - **编辑**：名称不可修改，与磁盘目录名一致。
 
+## Token 与敏感文件
+
+- **config.yaml**：已列入 `.gitignore`，若含敏感信息请勿提交到仓库。
+- **各 runner 目录下的 `.github_check_token`**：用于该 runner 的「GitHub 显示检查」，内容为 PAT。建议限制文件权限（如 `chmod 600`），若 `runners/` 被纳入版本库，请在 `.gitignore` 中加入 `**/.github_check_token` 避免泄露。
+
 [← 返回文档索引](README.md)
diff --git a/internal/config/config.go b/internal/config/config.go
@@ -14,7 +14,6 @@ var mu sync.Mutex
 // Config 应用配置
 type Config struct {
 	Server  ServerConfig  `yaml:"server"`
-	GitHub  GitHubConfig  `yaml:"github"`
 	Runners RunnersConfig `yaml:"runners"`
 }
 
@@ -24,11 +23,6 @@ type ServerConfig struct {
 	Addr string `yaml:"addr"`
 }
 
-// GitHubConfig GitHub 相关配置（可选，用于 API 获取 token）
-type GitHubConfig struct {
-	Token string `yaml:"token"`
-}
-
 // RunnersConfig Runner 根配置
 type RunnersConfig struct {
 	BasePath string       `yaml:"base_path"` // 所有 runner 安装的根目录
diff --git a/internal/githubcheck/check.go b/internal/githubcheck/check.go
@@ -3,6 +3,8 @@ package githubcheck
 import (
 	"encoding/json"
 	"net/http"
+	"os"
+	"path/filepath"
 	"strconv"
 	"strings"
 	"time"
@@ -12,9 +14,10 @@ import (
 )
 
 const (
-	apiBase    = "https://api.github.com"
-	apiTimeout = 30 * time.Second
-	apiPerPage = 100 // 单页数量，减少漏判（GitHub 默认 30）
+	apiBase         = "https://api.github.com"
+	apiTimeout      = 30 * time.Second
+	apiPerPage      = 100                   // 单页数量，减少漏判（GitHub 默认 30）
+	runnerTokenFile = ".github_check_token" // 各 runner 目录下可选文件，内容为用于 List runners API 的 PAT
 )
 
 // githubRunnersResponse 与 GitHub API 返回结构一致
@@ -29,18 +32,32 @@ type githubRunnersResponse struct {
 }
 
 // Run 根据配置对每个 runner 调用 GitHub API 检查是否已在 GitHub 显示，并写入 .github_status.json
+// Token 仅从该 runner 目录下的 .github_check_token 读取，无则跳过该 runner
 func Run(cfg *config.Config) {
-	if cfg == nil || cfg.GitHub.Token == "" {
+	if cfg == nil {
 		return
 	}
 	client := &http.Client{Timeout: apiTimeout}
 	for _, item := range cfg.Runners.Items {
 		installDir := item.InstallPath(cfg.Runners.BasePath)
-		registered := checkOne(client, cfg.GitHub.Token, item.TargetType, item.Target, item.Name)
+		token := tokenForRunner(installDir)
+		if token == "" {
+			continue
+		}
+		registered := checkOne(client, token, item.TargetType, item.Target, item.Name)
 		_ = runner.WriteGitHubStatus(installDir, registered)
 	}
 }
 
+// tokenForRunner 返回该 runner 用于 GitHub 检查的 token：从 installDir 下的 .github_check_token 读取，不存在或为空则返回空
+func tokenForRunner(installDir string) string {
+	b, err := os.ReadFile(filepath.Join(installDir, runnerTokenFile))
+	if err != nil {
+		return ""
+	}
+	return strings.TrimSpace(string(b))
+}
+
 // isValidTargetFormat 与 handler.validateTarget 规则一致，避免对无效 target 发起 API 请求；targetType 会规范为小写
 func isValidTargetFormat(targetType, target string) bool {
 	raw := strings.TrimSpace(target)
diff --git a/templates/index.html b/templates/index.html
@@ -170,7 +170,7 @@ <h1>Runner Fleet - GitHub Actions Runner 管理</h1>
 
   <div class="card">
     <h2>Runner 列表</h2>
-    <p style="color: var(--muted); font-size: 12px; margin: 0 0 12px 0;">注册结果由添加时写入；「GitHub 显示」由定时任务每 5 分钟检查（需在 <code>config.yaml</code> 中配置 <code>github.token</code>）。</p>
+    <p style="color: var(--muted); font-size: 12px; margin: 0 0 12px 0;">「注册结果」由添加时若填写 Token 执行注册并写入。「GitHub 显示」由定时任务约每 5 分钟检查（可选：在该 runner 目录下放置 <code>.github_check_token</code> 后即会检查）。</p>
     <table>
       <thead>
         <tr>
@@ -205,7 +205,7 @@ <h2>Runner 列表</h2>
               {{end}}
             {{else}}
               {{if .RegistrationMessage}}
-                <br><span class="github-unknown">GitHub 待检查</span>
+                <br><span class="github-unknown">GitHub 待检查（可选）</span>
               {{end}}
             {{end}}
           </td>
@@ -441,7 +441,7 @@ <h3 id="modalTitle">Runner 配置</h3>
             var ghEl = document.getElementById('vRegisteredOnGitHub');
             if (gh === true) ghEl.innerHTML = '<span class="github-yes">已在 GitHub 显示</span>';
             else if (gh === false) ghEl.innerHTML = '<span class="github-no">未在 GitHub 显示</span>';
-            else ghEl.textContent = '未检查（请配置 config.yaml 中 github.token 并等待定时检查）';
+            else ghEl.textContent = 'GitHub 显示未检查（可选：在该 runner 目录下放置 .github_check_token 后，由定时任务约每 5 分钟检查）';
             document.getElementById('vGitHubCheckAt').textContent = data.github_check_at || '—';
             const startStopSpan = document.getElementById('modalStartStopSpan');
             const startBtn = document.getElementById('modalStartBtnFooter');
