添加用户到仓库/组织 #

不管是单个仓库还是整个组织，添加用户的流程都很直观：

• 单个仓库添加协作者：
  1. 打开目标仓库主页，点击顶部的「Settings」标签
  2. 左侧菜单栏找到「Collaborators and teams」，点进去
  3. 点击「Add people」，输入对方的GitHub用户名、邮箱或者全名，找到对应的用户后选中
  4. 给用户分配合适的权限（比如Read、Write、Maintain），发送邀请，对方接受后就正式成为仓库协作者了
• 组织级添加用户：
  1. 进入你的GitHub组织主页，点击顶部的「People」标签
  2. 点击「Add people」，输入用户信息找到目标用户，选择后设置组织内角色（Member、Owner等），确认添加即可

生成访问令牌 #

这里分两种令牌类型，按需选择：

• 经典个人访问令牌（PAT）：
  1. 点击右上角个人头像，选择「Settings」
  2. 左侧拉到最底部，进入「Developer settings」
  3. 选择「Personal access tokens」→「Tokens (classic)」
  4. 点击「Generate new token (classic)」，设置令牌名称、过期时间，然后勾选需要的权限（比如仓库只读的话，勾public_repo或者repo权限，注意经典PAT的repo权限是读写，要是只需要只读，更推荐下面的细粒度令牌）
  5. 点击「Generate token」，务必立刻复制并保存令牌，离开页面后就再也看不到了
• 细粒度访问令牌（更安全，权限更细）：
  1. 同样进入「Developer settings」→「Personal access tokens」→「Fine-grained tokens」
  2. 点击「Generate new token」，设置名称、过期时间，选择要访问的仓库（可以指定单个或多个）
  3. 在「Repository permissions」里找到「Contents」，设置为「Read-only」，其他权限按需勾选
  4. 生成令牌后同样要及时保存

针对你不想用个人凭证/令牌的需求，这里有几个实用方案：

方案一：生成只读权限的专用访问令牌（最推荐） #

不需要添加任何用户，直接创建一个仅具备仓库只读权限的令牌：

• 用上面说的细粒度访问令牌，创建时指定目标仓库，把「Contents」权限设为「Read-only」，这样令牌只能读取仓库内容，没有其他权限，非常安全
• 克隆仓库时可以直接用：git clone https://<你的只读令牌>@github.com/<用户名>/<仓库名>.git，也可以把令牌配置到服务机器的git凭证存储里，避免每次输入

方案二：创建只读权限的专用机器人账号 #

如果一定要用用户账号，你可以注册一个专门的GitHub机器人账号（需绑定邮箱，建议用工作专用邮箱），然后把这个账号添加为仓库的只读协作者：

• 按照第一个问题里的添加协作者步骤，给这个机器人账号分配「Read」权限
• 服务用这个机器人账号的只读令牌或者凭证克隆仓库，和个人账号完全隔离，避免个人权限泄露

方案三：使用Deploy Keys（单仓库专属只读访问） #

这是GitHub专为服务器/服务访问仓库设计的方式，不需要额外账号：

• 在客户现场的服务机器上生成SSH密钥对：ssh-keygen -t ed25519 -C "deploy-key-for-customer"（一路回车即可，无需设置密码）
• 打开目标仓库的「Settings」→「Deploy keys」，点击「Add deploy key」
• 把机器上生成的公钥（.pub文件里的内容）粘贴进去，不要勾选Allow write access（留空即为只读权限），点击添加
• 服务机器上配置好私钥后，就可以用SSH地址克隆：git clone git@github.com/<用户名>/<仓库名>.git
• 优点是密钥只绑定当前仓库，权限最小化，不会影响其他仓库

方案四：仓库镜像到内部服务器（适合隔离环境） #

如果客户现场无法直接访问GitHub，可以把仓库镜像到客户内部的Git服务器（比如GitLab、Gitea）：

• 在内部服务器创建一个空仓库，然后在本地执行git clone --mirror https://github.com/<用户名>/<仓库名>.git，再把镜像推送到内部服务器
• 定期执行同步命令更新镜像，服务直接从内部仓库克隆，完全不需要GitHub凭证

内容的提问来源于stack exchange，提问作者Pradeep