GitHub Actions中github-script创建标签无法触发工作流的解决方案

在GitHub Actions自动化流程中，开发者经常需要通过API动态创建Git标签来触发后续的构建和发布流程。然而，使用github-script的默认GITHUB_TOKEN创建标签时，会遇到无法触发其他工作流的问题，这是GitHub平台的一个安全限制。

问题现象

当开发者使用github-script的github.rest.git.createRef方法创建新标签时，虽然标签能够成功创建，但基于push事件配置的其他工作流（如构建和发布流程）却不会被触发。这种情况常见于定时任务(schedule)中创建标签的场景。

根本原因

GitHub出于安全考虑，对默认的GITHUB_TOKEN设置了限制：使用此令牌触发的工作流不会进一步触发新的工作流。这是为了防止潜在的无限循环和工作流滥用。

解决方案

要解决这个问题，需要使用个人访问令牌(Personal Access Token, PAT)替代默认的GITHUB_TOKEN。具体实现步骤如下：

1. 在GitHub账号设置中创建一个具有适当权限的PAT
2. 将PAT作为secret添加到仓库设置中
3. 在github-script操作中指定使用这个PAT

steps:
  - uses: actions/github-script@v7
    with:
      github-token: ${{ secrets.CUSTOM_PAT }}
      script: |
        await github.rest.git.createRef({
          owner: context.repo.owner,
          repo: context.repo.repo,
          ref: "refs/tags/v1.0.0",
          sha: context.sha
        })

最佳实践

1. 最小权限原则：创建的PAT只需具备repo权限即可，不需要过高的权限
2. 命名规范：给secret使用有意义的名称，如REPO_PAT而非CUSTOM_PAT
3. 安全存储：确保PAT只存储在GitHub Secrets中，不直接出现在代码里
4. 监控使用：定期检查PAT的使用情况，必要时进行轮换

替代方案

如果不想使用PAT，也可以考虑以下替代方案：

1. 使用repository_dispatch事件手动触发工作流
2. 将多个步骤合并到同一个工作流中，避免触发限制
3. 使用GitHub App安装令牌代替PAT

总结

在GitHub Actions自动化流程中，理解各种令牌的权限限制对于设计可靠的工作流至关重要。当需要创建标签并触发后续流程时，使用PAT是解决GITHUB_TOKEN限制的有效方法。开发者应根据具体场景选择最适合的解决方案，同时遵循安全最佳实践。