我特别理解你碰到的这个棘手问题——本地用curl调用GitLab API更新组变量完全顺畅，但放到GitLab流水线里就抛出错误：

{"message":{"value":["is invalid"]}}
而且硬编码token值又能成功，这种本地和流水线的行为差异确实容易让人摸不着头脑。

问题根源分析 #

这种情况大概率是变量在流水线Shell环境中的解析或转义出了问题。你提到$token的值是类似eyJ9ZXGiOiIyI...的JWT格式字符串，这类字符串通常包含+、/、=或者潜在的引号类特殊字符。在流水线的Shell环境中，手动拼接JSON时如果处理不当，这些特殊字符会被意外转义、截断，导致传给GitLab API的value不是完整的正确值，最终触发“无效”的错误提示。

可行解决方案 #

这里给你几个针对性的解决办法，按推荐优先级排序：

1. 用jq构造JSON（最稳妥）

jq是专门处理JSON的工具，能自动处理字符串中的特殊字符，避免手动拼接的转义失误。你可以修改curl命令如下：

curl --request PUT \
  --header "PRIVATE-TOKEN: $GITLAB_API_TOKEN" \
  --header "Content-Type: application/json" \
  --data "$(jq -n --arg token "$token" '{value: $token}')" \
  "https://$GITLAB_URL/api/v4/groups/$GITLAB_GROUP/variables/VARIABLE"

• 注意：如果你的流水线运行环境默认没有jq，需要先安装它。比如用Ubuntu镜像的话，在job开头加apt-get update && apt-get install -y jq；用Alpine镜像则加apk add --no-cache jq。

2. 手动转义特殊字符（无需额外工具）

如果不想引入jq，可以用sed转义token中的双引号，再用printf构造JSON：

curl --request PUT \
  --header "PRIVATE-TOKEN: $GITLAB_API_TOKEN" \
  --header "Content-Type: application/json" \
  --data "$(printf '{"value": "%s"}' "$(echo "$token" | sed 's/"/\\"/g')")" \
  "https://$GITLAB_URL/api/v4/groups/$GITLAB_GROUP/variables/VARIABLE"

这个方法通过sed 's/"/\\"/g'把token里的双引号转义成\"，避免破坏JSON的结构完整性。

3. 检查流水线变量的传递设置

还要确认GitLab CI/CD中$token变量的配置：

• 确保在.gitlab-ci.yml中引用变量时用双引号包裹（"$token"），Shell会保留变量的完整原始值；
• 如果$token是敏感值，确保勾选了“掩码变量”选项，同时不要在流水线中直接打印它（避免泄露）；
• 可以临时添加一个调试步骤，打印最终构造的JSON内容（比如echo "$(jq -n --arg token "$token" '{value: $token}')"），对比本地执行的结果，确认数据是否一致。

验证建议 #

在流水线job里添加一个调试步骤，查看构造后的JSON数据是否和本地一致，这样能快速定位是不是数据构造环节出了问题。

备注：内容来源于stack exchange，提问作者basel.9188