问题：如何创建和使用新的个人访问令牌（classic）？

一、什么是Azure DevOps中的个人访问令牌（Classic PAT）？

在Azure DevOps中，个人访问令牌（Personal Access Token，简称PAT）是一种安全凭证，用于替代传统的用户名和密码进行身份验证。Classic PAT是早期版本的PAT，适用于大多数旧版和部分当前集成场景。

与密码相比，PAT具有以下优势：

• 可以精确控制权限范围（如代码、构建、发布等）
• 支持设置过期时间，增强安全性
• 可随时撤销，无需更改账户密码

二、如何创建新的Classic PAT？

1. 登录Azure DevOps门户：https://dev.azure.com
2. 点击右上角用户头像，选择 Personal Access Tokens
3. 点击 + New Token 按钮
4. 填写以下信息：
   • 名称：用于标识该PAT的用途
   • 组织：选择该PAT适用的组织（可选所有或特定组织）
   • 过期时间：建议不超过90天
   • 作用域权限：根据需要勾选对应权限
5. 点击 Create 按钮，系统将生成PAT
6. 复制生成的PAT并妥善保存（页面关闭后无法再次查看）

三、PAT的作用域权限配置

Classic PAT支持多种权限作用域，开发者应根据实际使用场景选择最小必要权限。以下是常见权限及其用途：

四、如何使用Classic PAT？

Classic PAT通常用于以下几种方式的身份验证：

• 命令行中使用Git：

  git clone https://<PAT>@dev.azure.com/<Organization>/<Project>/_git/<Repo>

• 在CI/CD管道中配置认证：

  env:
    AZURE_DEVOPS_PAT: ${{ secrets.AZURE_DEVOPS_PAT }}

• 调用Azure DevOps REST API：

  curl -u :<PAT> https://dev.azure.com/<Organization>/_apis/projects?api-version=7.0

五、如何安全地使用和存储PAT？

Classic PAT本质上是长期凭证，因此必须妥善保管。以下是推荐的安全实践：

• 使用密钥管理工具（如Azure Key Vault、HashiCorp Vault）存储PAT
• 在CI/CD平台中使用加密的环境变量或Secrets机制
• 避免将PAT硬编码在源码或配置文件中
• 为不同用途创建不同PAT，便于权限控制与审计
• 定期轮换PAT，避免长期使用同一令牌

六、如何更新或撤销已有的Classic PAT？

Classic PAT一旦创建，其权限和过期时间无法修改。若需调整，只能重新创建新的PAT。

撤销已有PAT的步骤如下：

1. 进入Azure DevOps的 Personal Access Tokens 页面
2. 找到目标PAT，点击右侧的 ... 按钮
3. 选择 Revoke 撤销该令牌

撤销后，所有使用该PAT的服务将立即失去访问权限，需更新为新PAT。

七、最佳实践与流程图

为了帮助开发者更好地理解Classic PAT的生命周期管理，以下是一个简单的流程图说明：

```mermaid
graph TD
    A[创建Classic PAT] --> B[设置权限与过期时间]
    B --> C[保存生成的令牌]
    C --> D[在CI/CD或API中使用]
    D --> E{是否需要更新权限或过期时间?}
    E -->|是| F[撤销旧PAT]
    F --> G[重新创建新PAT]
    E -->|否| H[定期轮换PAT]
    H --> I[撤销不再使用的PAT]
```