<h1 id="github-actions%E3%81%AE%E3%80%8C%E3%81%AA%E3%81%9C%E3%81%8B%E5%8B%95%E3%81%8F%E3%80%8D%E3%82%92%E5%88%86%E8%A7%A3%E3%81%99%E3%82%8B%EF%BC%9Anpm-publish%E3%81%A8github_token" data-line="0" class="code-line">
<a class="header-anchor-link" href="#github-actions%E3%81%AE%E3%80%8C%E3%81%AA%E3%81%9C%E3%81%8B%E5%8B%95%E3%81%8F%E3%80%8D%E3%82%92%E5%88%86%E8%A7%A3%E3%81%99%E3%82%8B%EF%BC%9Anpm-publish%E3%81%A8github_token" aria-hidden="true"></a> GitHub Actionsの「なぜか動く」を分解する：npm publishとGITHUB_TOKEN</h1>
最近、非エンジニアの人やエンジニアなりたての人と作業することがあります。 
そこで自分が組んだGithub Actionsについて質問をもらいました。
「このyamlってプログラミング言語じゃないのになんでこういうふうに書くことで動くの？」 
「初めてみても何が何をしているの全然直観的じゃなくて、これから自分で書ける自信がない・・・」
上記のような言葉をもらいました。
実際、GitHub Actionsを使っていると、コピペでなんとなく動いてはいるものの、「裏で何が起きているのかよくわからない」と感じる自分も瞬間があります。
特に、認証周りやパッケージの公開（Publish）フローです。 
「なぜパスワードを入力していないのに公開できるの？」 
「勝手にセットされる環境変数の正体は何？」
いわゆる「黒魔術」っぽく見えるこれらの挙動について、以下のYAML（抜粋）を例に、その裏側の仕組みを調べてみました。
<div class="code-block-container"><pre class="language-yaml"><code class="language-yaml code-line" data-line="18">jobs:
 generate-sdk:
 runs-on: ubuntu-latest
 permissions:
 contents: write
 packages: write
 steps:
 - uses: actions/setup-node@v4
 with:
 registry-url: "https://npm.pkg.github.com"
 
 # (中略)

 - run: npm publish
 env:
 NODE_AUTH_TOKEN: ${{ secrets.GITHUB_TOKEN }}
</code></pre></div><h2 id="1.-%E8%AA%8D%E8%A8%BC%E3%81%AE%E6%AD%A3%E4%BD%93%EF%BC%9Agithub_token" data-line="37" class="code-line">
<a class="header-anchor-link" href="#1.-%E8%AA%8D%E8%A8%BC%E3%81%AE%E6%AD%A3%E4%BD%93%EF%BC%9Agithub_token" aria-hidden="true"></a> 1. 認証の正体：GITHUB_TOKEN</h2>
まず一番の疑問である「なぜ認証が通るのか」についてです。 
通常、手元のPCから操作する場合はPAT（Personal Access Token）を使いますが、Actions内では <code>GITHUB_TOKEN</code> を使うのがベストプラクティスとされています。
<h3 id="%E3%81%A9%E3%81%93%E3%81%8B%E3%82%89%E6%9D%A5%E3%81%9F%E3%81%AE%E3%81%8B%EF%BC%9F" data-line="42" class="code-line">
<a class="header-anchor-link" href="#%E3%81%A9%E3%81%93%E3%81%8B%E3%82%89%E6%9D%A5%E3%81%9F%E3%81%AE%E3%81%8B%EF%BC%9F" aria-hidden="true"></a> どこから来たのか？</h3>
このトークンは、Workflowのジョブが開始されるたびにGitHub Actionsが自動生成し、ジョブ終了とともに破棄される仕組みです。「その場限りの使い捨て合鍵」のようなものですね。
<h3 id="%E3%81%AA%E3%81%9C%E6%9B%B8%E3%81%8D%E8%BE%BC%E3%82%81%E3%82%8B%E3%81%AE%E3%81%8B%EF%BC%9F%EF%BC%88permissions%E3%81%AE%E9%87%8D%E8%A6%81%E6%80%A7%EF%BC%89" data-line="46" class="code-line">
<a class="header-anchor-link" href="#%E3%81%AA%E3%81%9C%E6%9B%B8%E3%81%8D%E8%BE%BC%E3%82%81%E3%82%8B%E3%81%AE%E3%81%8B%EF%BC%9F%EF%BC%88permissions%E3%81%AE%E9%87%8D%E8%A6%81%E6%80%A7%EF%BC%89" aria-hidden="true"></a> なぜ書き込めるのか？（permissionsの重要性）</h3>
デフォルトの状態では、このトークンは読み取り専用（Read-only）になっています。 
そこで重要になるのが <code>permissions</code> ブロックです。
<div class="code-block-container"><pre class="language-yaml"><code class="language-yaml code-line" data-line="51">permissions:
 contents: write # git pushするため
 packages: write # npm publishするため
</code></pre></div>ここで明示的に「書き込み権限（write）」を要求することで、パッケージ公開が可能になります。 
逆に言えば、PATをSecretsに登録する必要はない、ということになります。 同じリポジトリ（組織）内での操作であれば、<code>permissions</code> を適切に設定した <code>GITHUB_TOKEN</code> でセキュアに完結できるようです。
<h2 id="2.-npm-publish-%E3%81%8C%E6%88%90%E5%8A%9F%E3%81%99%E3%82%8B%E3%80%8C%E4%BB%95%E6%8E%9B%E3%81%91%E3%80%8D" data-line="60" class="code-line">
<a class="header-anchor-link" href="#2.-npm-publish-%E3%81%8C%E6%88%90%E5%8A%9F%E3%81%99%E3%82%8B%E3%80%8C%E4%BB%95%E6%8E%9B%E3%81%91%E3%80%8D" aria-hidden="true"></a> 2. npm publish が成功する「仕掛け」</h2>
次に、<code>npm publish</code> の裏側です。 
ここには <code>setup-node</code> アクションと <code>npm</code> コマンドの間で、見えない連携プレーが存在します。
<h3 id="setup-node-%E3%81%AE%E9%9A%A0%E3%82%8C%E3%81%9F%E4%BB%95%E4%BA%8B" data-line="65" class="code-line">
<a class="header-anchor-link" href="#setup-node-%E3%81%AE%E9%9A%A0%E3%82%8C%E3%81%9F%E4%BB%95%E4%BA%8B" aria-hidden="true"></a> setup-node の隠れた仕事</h3>
以下のステップを実行したとき、何が起きているのでしょうか。
<div class="code-block-container"><pre class="language-yaml"><code class="language-yaml code-line" data-line="69">- uses: actions/setup-node@v4
 with:
 registry-url: "https://npm.pkg.github.com"
</code></pre></div>実はこのアクション、Node.jsをインストールするだけでなく、ホームディレクトリに <code>.npmrc</code>（設定ファイル）を自動生成するという役割も担っています。 
中身はおおよそ以下のようになっています。
<div class="code-block-container"><pre class="language-ini"><code class="language-ini code-line" data-line="78"># 自動生成された .npmrc のイメージ
//npm.pkg.github.com/:_authToken=${NODE_AUTH_TOKEN}
registry=https://npm.pkg.github.com
</code></pre></div>ポイントは、トークンが直接書き込まれるのではなく、<code>${NODE_AUTH_TOKEN}</code> という「環境変数を参照せよ」という命令が書き込まれている点です。
<h3 id="%E7%92%B0%E5%A2%83%E5%A4%89%E6%95%B0%E3%81%AE%E6%B3%A8%E5%85%A5" data-line="86" class="code-line">
<a class="header-anchor-link" href="#%E7%92%B0%E5%A2%83%E5%A4%89%E6%95%B0%E3%81%AE%E6%B3%A8%E5%85%A5" aria-hidden="true"></a> 環境変数の注入</h3>
そして、実際にPublishするステップで「実体」を注入します。
<div class="code-block-container"><pre class="language-yaml"><code class="language-yaml code-line" data-line="90">- run: npm publish
 env:
 NODE_AUTH_TOKEN: ${{ secrets.GITHUB_TOKEN }}
</code></pre></div>ここで初めて「環境変数 <code>NODE_AUTH_TOKEN</code>」に「<code>GITHUB_TOKEN</code> の値」が渡されることになります。
<ol data-line="98" class="code-line">
<li data-line="98" class="code-line">
<code>setup-node</code> が「<code>NODE_AUTH_TOKEN</code> を見るような設定ファイル」を作る。</li>
<li data-line="99" class="code-line">
<code>npm publish</code> 実行時に <code>env</code> で値を流し込む。</li>
<li data-line="100" class="code-line">npmコマンドが <code>.npmrc</code> を読み、認証が通る。</li>
</ol>
この2段階のステップによって、コード内にトークンをハードコードすることなく認証を実現しているわけです。 
<code>NODE_AUTH_TOKEN</code> という名前はマジックナンバーというわけではなく、<code>setup-node</code> が生成する <code>.npmrc</code> の仕様に合わせたものになっています。
<h2 id="3.-%E3%82%B9%E3%83%86%E3%83%83%E3%83%97%E9%96%93%E3%81%A7%E5%A4%89%E6%95%B0%E3%82%92%E5%85%B1%E6%9C%89%E3%81%99%E3%82%8B" data-line="105" class="code-line">
<a class="header-anchor-link" href="#3.-%E3%82%B9%E3%83%86%E3%83%83%E3%83%97%E9%96%93%E3%81%A7%E5%A4%89%E6%95%B0%E3%82%92%E5%85%B1%E6%9C%89%E3%81%99%E3%82%8B" aria-hidden="true"></a> 3. ステップ間で変数を共有する</h2>
YAML内で、あるステップで作った変数（例えばバージョン番号など）を、後のステップで使いたいケースがあります。
<div class="code-block-container"><pre class="language-bash"><code class="language-bash code-line" data-line="109"># 古い書き方（現在も動くが非推奨）
echo "NEW_VERSION=1.2.3" &gt;&gt; $GITHUB_ENV
</code></pre></div>以前はこのように <code>$GITHUB_ENV</code> ファイルに追記する方法が使われていました。 
しかしこの方法は、後続の全てのステップに意図せず影響を与えてしまう可能性があるため、現在では非推奨とされています。
現在推奨されているのは、ステップの「出力」として設定する方法です。
<div class="code-block-container"><pre class="language-yaml"><code class="language-yaml code-line" data-line="119">- id: setup_version # 1. stepにidを付ける
 run: echo "new_version=1.2.3" &gt;&gt; $GITHUB_OUTPUT # 2. $GITHUB_OUTPUT に書き込む

- run: echo "バージョンは ${{ steps.setup_version.outputs.new_version }} です" # 3. id経由で参照する
</code></pre></div>このように <code>$GITHUB_OUTPUT</code> を使うことで、どのステップで生成された値なのかが明確になり、ワークフローの見通しが良くなります。
<h2 id="%E3%81%BE%E3%81%A8%E3%82%81" data-line="128" class="code-line">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h2>
GitHub Actionsの挙動は一見「黒魔術」に見えますが、分解すると以下のシンプルな要素の組み合わせで動いているというわけです。
<ol data-line="132" class="code-line">
<li data-line="132" class="code-line">
GITHUB_TOKEN: 自動発行される使い捨てトークン。</li>
<li data-line="133" class="code-line">
Permissions: トークンへの権限付与。</li>
<li data-line="134" class="code-line">
Config Generation: Actionによる設定ファイル（.npmrc）の自動生成。</li>
</ol>
特に <code>setup-node</code> を使う際は、READMEの仕様を一読しておくと「なぜ動くのか」が腹落ちしやすいかと思います。
<h3 id="%E5%8F%82%E8%80%83%E3%83%AA%E3%83%B3%E3%82%AF%EF%BC%88%E4%B8%80%E6%AC%A1%E6%83%85%E5%A0%B1%EF%BC%89" data-line="138" class="code-line">
<a class="header-anchor-link" href="#%E5%8F%82%E8%80%83%E3%83%AA%E3%83%B3%E3%82%AF%EF%BC%88%E4%B8%80%E6%AC%A1%E6%83%85%E5%A0%B1%EF%BC%89" aria-hidden="true"></a> 参考リンク（一次情報）</h3>
<ul data-line="140" class="code-line">
<li data-line="140" class="code-line">
<a href="https://github.com/actions/setup-node" target="_blank" rel="nofollow noopener noreferrer">GitHub Actions: setup-node (README)</a>
<ul data-line="141" class="code-line">
<li data-line="141" class="code-line">
<code>.npmrc</code> の生成と <code>NODE_AUTH_TOKEN</code> についての記載があります。</li>
</ul>
</li>
<li data-line="142" class="code-line">
<a href="https://docs.github.com/ja/packages/working-with-a-github-packages-registry/working-with-the-npm-registry" target="_blank" rel="nofollow noopener noreferrer">GitHub Docs: npm レジストリの作業</a>
<ul data-line="143" class="code-line">
<li data-line="143" class="code-line">Actionsでの認証方法について解説されています。</li>
</ul>
</li>
<li data-line="144" class="code-line">
<a href="https://docs.github.com/ja/actions/security-for-github-actions/security-guides/automatic-token-authentication" target="_blank" rel="nofollow noopener noreferrer">GitHub Docs: 自動トークン認証</a>
<ul data-line="145" class="code-line">
<li data-line="145" class="code-line">
<code>permissions</code> の設定詳細です。</li>
</ul>
</li>
</ul>

GitHub Actionsの「なぜか動く」を分解する：npm publishとGITHUB_TOKEN

なぜ書き込めるのか？（permissionsの重要性）

2. npm publish が成功する「仕掛け」

3. ステップ間で変数を共有する

Discussion