ci: authenticate upgrade workflow via GitHub App token

[vincentchalamon]

Problème

Le workflow Upgrade API Platform plante à l'étape Create Pull Request (run 26624418740) :

fatal: could not read Username for 'https://github.com': No such device or address

Le secret API_PLATFORM_DEMO_PR_TOKEN (un PAT perso, posé en 2024-10) n'est plus accepté par GitHub : il fonctionnait encore le 22/05 (PR #641 créée par le workflow) et était rejeté le 29/05. Un remplacement par un fine-grained PAT bute sur l'approbation org (Resource not accessible by personal access token).

Correctif

Génère un token éphémère depuis la GitHub App API Platform release manager (déjà utilisée pour déclencher ce workflow, et qui a contents: write + pull_requests: write sur demo) via actions/create-github-app-token, au lieu du PAT.

Avantages : token regénéré et valable 1h à chaque run (plus d'expiration silencieuse), non lié à un compte perso, pas d'approbation de PAT côté org.

Prérequis avant merge / run

• Un owner de l'org génère une clé privée pour l'App et la stocke dans le secret repo RELEASE_MANAGER_APP_PRIVATE_KEY.
• Le secret API_PLATFORM_DEMO_PR_TOKEN peut ensuite être supprimé.

L'App ID 1484548 est public, codé en dur dans le workflow.

🤖 Generated with Claude Code