你说得对，直接添加全局SSH密钥或普通个人访问令牌（PAT）确实会让机器获得你账号下所有仓库的权限，不过GitHub提供了两种精准控制的方法，刚好满足你只开放单个仓库的需求：

方案一：使用部署密钥（Deploy Keys） #

这是最适配单仓库场景的方案，部署密钥是仓库级别的SSH密钥，只会关联你指定的那个仓库，完全不会影响其他仓库的权限。

操作步骤： #

1. 在实验室机器上生成全新的SSH密钥（别用你个人的密钥！）：

   ssh-keygen -t ed25519 -C "lab-machine-your-repo-name"
   

   按提示一路回车即可，不用设置密码（方便后续自动化操作），生成后会得到~/.ssh/id_ed25519（私钥）和~/.ssh/id_ed25519.pub（公钥）两个文件。

2. 复制公钥内容：

   cat ~/.ssh/id_ed25519.pub
   

   把输出的全部文本复制下来。

3. 到GitHub目标仓库的设置页面操作：

   • 点击侧边栏的「Deploy keys」选项
   • 点击「Add deploy key」按钮
   • 粘贴刚才复制的公钥内容，给密钥起个好记的名字（比如「Lab Machine - 我的项目仓库」）
   • 一定要勾选**「Allow write access」**（不然只能拉取仓库内容，没法推送修改）
   • 点击「Add key」完成添加

4. 在实验室机器上测试访问：
   用SSH协议克隆仓库或者执行pull/push操作，比如：

   git clone git@github.com:你的用户名/目标仓库名.git
   

   这个密钥只会对该仓库生效，尝试访问你账号下的其他仓库会直接被拒绝。

方案二：创建限定仓库权限的个人访问令牌（PAT） #

如果你更习惯用HTTPS方式操作仓库，可以创建一个仅针对目标仓库的PAT，比全局PAT的安全性高很多。

操作步骤： #

1. 登录你的GitHub账号，进入「Settings」→「Developer settings」→「Personal access tokens」→「Tokens (classic)」（注意：必须选择classic类型，因为它的仓库权限限定功能足够满足需求）。

2. 点击「Generate new token」：

   • 给令牌起个辨识度高的名字（比如「Lab Machine - 项目仓库专属令牌」）
   • 设置过期时间（建议设短一点，比如30天，到期再续，降低泄露风险）
   • 在「Select scopes」区域，只勾选**「repo」**这个范围（包含仓库的读写权限）
   • 下拉到「Repository access」部分，选择**「Only select repositories」**，然后在下拉列表里选中你的目标仓库
   • 点击「Generate token」，把生成的令牌复制下来（一定要妥善保存，刷新页面后就看不到了！）

3. 在实验室机器上使用这个令牌：
   用HTTPS克隆仓库时，把URL里的用户名替换成令牌，比如：

   git clone https://<你的PAT内容>@github.com:你的用户名/目标仓库名.git
   

   如果已经克隆过仓库，也可以修改远程地址：

   git remote set-url origin https://<你的PAT内容>@github.com:你的用户名/目标仓库名.git
   

   之后执行pull/push操作时会自动用这个令牌认证，而且这个令牌只能访问你指定的那个仓库。

两种方案对比 #

• 部署密钥：更适合长期固定的实验室机器，密钥存储在机器本地，每个仓库需要单独添加密钥，权限隔离彻底。
• 限定PAT：适合偏好HTTPS协议的场景，或者需要访问少数几个仓库的情况，令牌可以存在机器的Git配置中，管理更灵活。

内容的提问来源于stack exchange，提问作者Xiaokang