AI 摘要：自 2025 年 11 月 5 日起，npm 将正式禁用新建经典 (classic) token，并强化细化 (granular) token 的安全策略，包括强制启用双重验证 (2FA) 及限定有效期为 90 天。现存的经典 token 将在 11 月 19 日彻底失效，用户需尽快迁移至新的 granular 权限模型。

1. 更新背景与总体说明
• 本次更新是 npm 提升安全策略的重要阶段，意在统一令牌 (token) 管理机制。
• 仅 npm 注册表使用的 token 受影响，GitHub 自身的 token 不受波及。

2. 主要变更：经典 token 停用
• 自 2025 年 11 月 5 日起，无法通过网站、CLI 或 API 再创建 classic token。
• 现有 classic token 可继续使用至 11 月 19 日，之后将全部失效。
• npm token create 不再生成 classic token。

3. granular token 改进措施
• 新建具有写权限的 npm granular token 默认强制要求启用 2FA。
• 针对 CI/CD，可设置 “Bypass 2FA” 选项（默认关闭）。
• 所有具写权限的 granular token 有效期上限调整为为 90 天，原定于 2026 年 2 月 3 日之后到期的现有 token 已调整为在该日期到期。

4. 用户应对与迁移步骤
• 用户须在截止日前迁移 classic token 至 granular token。
• 迁移流程需通过 npm 账户设置页面 完成，选择 “Generate New Token → Granular Access Token”。
• 依工作流需求配置权限，CI/CD 可启用 Bypass 2FA 或使用 OIDC。
• 目前 granular token 仅可通过网站生成，CLI 支持将在后续添加。

5. granular token 用户的注意事项
• 定期检查 token 过期时间并规划轮换 (rotation)。
• 对非交互式发布需求，可能需启用 Bypass 2FA。

6. 不受影响的范围
• GitHub classic 个人访问 token、fine-grained 个人访问 token、GitHub Actions secret 以及 GITHUB_TOKEN 均无须变更。
• 但若内含 npm 凭证，应相应更新。

7. 接下来的关键节点：2025 年 11 月 19 日
• npm 将彻底吊销 classic token，并引入 2 小时有效的动态 session token 取代长期本地发布凭证。

8. 支持与参考资源
• npm token migration guide 提供迁移指引。

The GitHub Blog

npm security update: Classic token creation disabled and granular token changes - GitHub Changelog

Editor’s note (November 5, 2025): We’ve updated this post to explicitly clarify that the affected tokens are npm tokens. Today marks another milestone in our ongoing effort to strengthen npm’s…