一、克隆同组织仓库的通用操作方式 #

在GitHub Actions里克隆同一组织内的仓库，主要有两种可靠的认证方式，分别适用于不同场景：

1. SSH部署密钥方式（适合单仓库授权） #

• 生成SSH密钥对：在本地执行ssh-keygen -t rsa -b 4096 -C "your-github-username@github.com"，这里的注释（-C参数）最好包含github.com，能避免后续工具的警告。
• 将公钥添加到目标仓库的「Settings → Deploy keys」中，勾选「Allow write access」（如果需要向目标仓库写入内容）。
• 将私钥存储在当前仓库的「Settings → Secrets and variables → Actions」中，命名为比如SSH_PRIVATE_KEY。
• 在工作流中加载密钥并克隆：

  - name: Load SSH key
    uses: webfactory/ssh-agent@v0.5.4
    with:
      ssh-private-key: ${{ secrets.SSH_PRIVATE_KEY }}
  
  - name: Clone target repo
    uses: actions/checkout@v3
    with:
      repository: 'your-org/target-repo'
      path: 'path/to/clone'
  

2. Personal Access Token（PAT）方式（适合多仓库授权） #

• 生成PAT：在GitHub的「Settings → Developer settings → Personal access tokens」中创建，勾选repo权限（如果是内部仓库，确保账号有访问目标仓库的权限）。
• 将PAT存储在当前仓库的Actions Secrets中，命名为比如REPO_ACCESS_TOKEN。
• 在工作流中通过HTTPS克隆：

  - name: Clone target repo
    uses: actions/checkout@v3
    with:
      repository: 'your-org/target-repo'
      path: 'path/to/clone'
      token: ${{ secrets.REPO_ACCESS_TOKEN }}
  

二、针对你遇到的问题的解决方案 #

你当前的工作流存在两个关键问题，我们逐一解决：

1. 关于SSH密钥的警告提示 #

日志里的Comment for (public) key ' ' does not match GitHub URL pattern是因为webfactory/ssh-agent会检查SSH密钥的注释是否符合GitHub相关格式（比如包含github.com）。这个提示本质上是警告，不一定会导致克隆失败，但可以通过重新生成带注释的密钥来消除：

ssh-keygen -t rsa -b 4096 -C "your-username@github.com"

然后替换目标仓库的部署公钥和当前仓库的私钥secret即可。

2. 关于「token is not a legal HTTP header value」的错误 #

这是核心问题：你在actions/checkout的token参数中传入了SSH私钥，但token参数要求的是GitHub PAT（用于HTTPS认证），SSH私钥是用于SSH协议的，两者完全不兼容。私钥包含换行、特殊字符，无法作为合法的HTTP头值，因此报错。

修正方案（二选一）：

方案A：继续使用SSH方式

去掉actions/checkout中的token参数，因为已经通过webfactory/ssh-agent加载了SSH密钥，actions/checkout会自动使用SSH协议克隆：

- name: Install SSH Key
  uses: webfactory/ssh-agent@v0.5.4
  with:
    ssh-private-key: ${{ secrets.ACCESS_KEY }}

- name: Clone the internal repo
  uses: actions/checkout@v3
  with:
    repository: '[org name]/[repo name]'
    path: '[my path]'
    # 移除token参数

方案B：切换为PAT方式

• 生成一个带repo权限的PAT，存储到当前仓库的Secrets中（比如命名为REPO_PAT）。
• 修改工作流，使用PAT作为token参数，不需要SSH相关步骤：

- name: Clone the internal repo
  uses: actions/checkout@v3
  with:
    repository: '[org name]/[repo name]'
    path: '[my path]'
    token: ${{ secrets.REPO_PAT }}

总结 #

你的克隆失败完全是因为混淆了SSH私钥和PAT的使用场景，修正后即可正常克隆同一组织内的内部仓库。

内容的提问来源于stack exchange，提问作者Thumb