如何从Github工作流访问环境机密？

我正在尝试从 Github 工作流中将Python 包发布到 PyPI，但“Test PyPI”的身份验证失败。我从命令行成功发布到 Test PyPI，所以我的 API 令牌必须是正确的。我还检查了秘密值中的前导和尾随空格（即，在 GitHub 上）。

正如上次提交所示，我尝试了一些没有成功的事情。

我首先尝试将简单的 bash 命令内联到工作流程中，如下所示，但我无法将我的秘密放入环境变量中。当我打印这些变量时，日志中没有显示任何内容。

- name: Publish on Test PyPI 
  env:
     TWINE_USERNAME: __token__
     TWINE_PASSWORD: ${{ secrets.PYPI_TEST_TOKEN }}
     TWINE_REPOSITORY_URL: "https://test.pypi.org/legacy/"
  run: |
     echo "$TWINE_PASSWORD"
     pip install twine
     twine check dist/*
     twine upload dist/*

我还尝试使用专用的 GitHub Action 如下，但它也不起作用。我想问题出在我的工作流程中不可用的秘密。让我感到困惑的是，我的工作流程使用另一个令牌/秘密就好了！但是，如果我将它放在环境变量中，则不会打印任何内容。我还以不同的名称（PYPI_TEST_TOKEN 和 TEST_PYPI_API_TOKEN）重新创建了我的秘密，但无济于事。

- name: Publish to Test PyPI
  uses: pypa/gh-action-pypi-publish@release/v1
  with:
    user: __token__
    password: ${{ secrets.TEST_PYPI_API_TOKEN }}
    repository_url: https://test.pypi.org/legacy/

我想我错过了一些明显的东西（像往常一样）。任何帮助都受到高度赞赏。

回答

jobs:
  publish:
    environment: CI    # <--- /! Here is the link to the environment
    needs: build
    runs-on: ubuntu-latest
    if: startsWith(github.ref, 'refs/tags/v')
    steps:
    - uses: actions/checkout@v2
    # Some more steps here ...
    - name: Publish to Test PyPI
      env:
        TWINE_USERNAME: "__token__"
        TWINE_PASSWORD: ${{ secrets.TEST_PYPI_API_TOKEN }}
        TWINE_REPOSITORY_URL: "https://test.pypi.org/legacy/"
      run: |
        echo KEY: '${TWINE_PASSWORD}'
        twine check dist/*
        twine upload --verbose --skip-existing dist/*