趣味などで書いている自作のいくつかのPythonライブラリをpipで扱えるようにPyPIに登録したりしているのですが、先日新バージョンをアップロードしたら以下のような警告メッセージがPyPIから届くようになっていました。
During your recent upload or upload attempt to PyPI, we noticed you used basic authentication (username & password). However, your account has two-factor authentication (2FA) enabled.
In the near future, PyPI will begin prohibiting uploads using basic authentication for accounts with two-factor authentication enabled. Instead, we will require API tokens to be used.
どうやらアカウントの2段階認証を設定している状態でのアップロード時の基本的な認証の利用は近い内に禁止となるようです。代わりにAPIトークンを使ってくださいとのことです。
そのため備忘録も兼ねてGitHub Actionsで実行されているPyPIへのアップロードのジョブをPyPIのAPIを使う形に差し替えるための対応をメモしておきます。
まずはAPIトークンを発行する
警告メッセージの対応手順には以下のように記載されていました。
First, generate an API token for your account or project at https://pypi.org/manage/account/token/
まずはAPIトークンの発行・・・ということで上記のリンクにアクセスしてログインします。
すると以下のような画面になりました。
今回はapyscという以下の自作ライブラリのGitHub Actionsでまずは進めていこうと思うのでToken nameはapycs token、ScopeはProject: apyscとして対象ライブラリのみのスコープに設定してみます。Add tokenボタンを押して次に進みます。
再度ログインを要求される画面になりました。ログインしてみた・・・のですがまたToken追加の画面に戻されました。また同じ内容を入力して進んだら今度はトークン発行結果の画面にちゃんとなりました。この遷移は初見の時少し戸惑いますね・・・。
※トークン部分は灰色で塗りつぶしてあります。
発行されたトークンの文字列をGitHub ActionsのSecretsに登録していきます。まずは右上のSettingsメニューをクリックします。
左のメニューにあるSecretsをクリックします。クリック後にいくつか候補が出る場合には今回はGitHub Actionsのものが対象なのでActionsを選択します。
右上のNew repository secretボタンをクリックします。
Nameには今回はPYPI_TOKENと設定してValueには先ほど発行されたAPIトークンの文字列をコピペします。Add secretボタンをクリックして保存します。
これで(ミスしていなければ)発行したAPIトークンがGitHub Actions上で扱えるようになりました。
PyPIへのアップロードのGitHub Actionsのジョブを直す
アップロード用のGitHub ActionsのジョブのYAMLをAPIトークンを使う形に直していきます。
※以前対応した時の古いGitHub Actionsの記事は以下となります。
下記の資料を読んでいたらpypa/gh-action-pypi-publish@masterのGitHub Actionsのものを使うとシンプルそう・・・だったため、ついでにそちらを使う形に移行してみます。
最終的にデプロイのジョブ部分は以下のような記述になりました(デプロイに関係ない箇所は一部省略しています)。
DeployToPyPI:
runs-on: ubuntu-latest
steps:
- name: Checkout
uses: actions/checkout@v2
- name: Setup the Python dependencies
uses: ./.github/actions/setup_py_dependencies
with:
python-version: ${{ needs.SetGlobalConstants.outputs.PYTHON_36_VERSION }}
- name: Execute the Python package build
run: python ./scripts/build.py
- name: Upload to PyPI
uses: pypa/gh-action-pypi-publish@master
with:
password: ${{ secrets.PYPI_TOKEN }}
やっていることとしては
- リポジトリのclone
- Python実行環境の整備
- setup.pyなどを使ったアップロード用の各種ファイル用のビルドを通す
- pypa/gh-action-pypi-publish@masterを使ったPyPIへのアップロード
だけです。pypa/gh-action-pypi-publish@masterを始めて使ってみましたが設定がシンプルで素敵です・・・!
${{ secrets.PYPI_TOKEN }}部分にはGitHub上で設定したSecretsの名前を設定します。
ビルドの処理は以下のスクリプトでsetup.pyを動かす感じで対応しています。ここでは主題からは外れるので詳しくは触れません。
※最終的なGitHub ActionsのYAMLは以下のようになっています。一応リンクは貼っておきますがこちらも各ジョブは今回の主題から外れるので本記事では触れません。また、日々アップデートされていくので記事の内容と将来ずれる可能性があります。
あとはpushなどしてジョブを動かして終わるのを待てば完了です。
何度か調整などしたりはしましたが無事通ったようです・・・!
参考文献・参考サイト