代码之家 › 专栏 › 技术社区 › mdmb

在.npmrc中使用身份验证令牌

npm

mdmb · 技术社区 · 6 年前

here 并添加了 .npmrc 用我的身份验证令牌存档。

这是一个安全的行为,把它放在回购?我希望开发人员能够访问它,但如果回购协议公开,我们可能会暴露令牌。

在这种情况下最好的做法是什么?

0 回复 | 直到 5 年前

Brian Zelip 3 年前

更新2021-05-02

或许可以试试@konyak的答案。

绝对不是 将令牌放入任何git检查过的文件(包括.npmrc)的安全行为。

以下是您的团队可以采取的安全利用您的npm代币的步骤。

每个开发者的本地开发机器

本地开发人员

跟随 Global Set Up instructions

创建.npmrc文件,类似于 "Per project" instructions , $ . 即:

@fontawesome:registry=https://npm.fontawesome.com/
//npm.fontawesome.com/:_authToken=$TOKEN

.env . 所以,在一个 .gitignore d.env文件,添加您的密钥-值对,即:

TOKEN=ABC123

npm-config docs ,即:

NPM_CONFIG_TOKEN=ABC123

现在,当dev运行时 npm i

注意 :不要遵循当前npm config文档中关于环境变量语法的说明!看到了吗 this stack overflow answer ,即:

ð BAD npm-config ENVIRONMENT VAR SYNTAX ð

${TOKEN}

ð GOOD npm-config ENVIRONMENT VAR SYNTAX ð

$TOKEN

应用部署平台

执行上面local dev部分的所有步骤,另外:

在平台上创建一个与.npmrc文件中同名的环境变量。

Build Environment Variables docs

konyak 4 年前

https://docs.npmjs.com/using-private-packages-in-a-ci-cd-workflow

将秘密令牌导出到会话中,例如。, export NPM_TOKEN="00000000-0000-0000-0000-000000000000"

在你的 ~/.npmrc ,添加 //registry.npmjs.org/:_authToken=${NPM_TOKEN}

推荐文章

Dasha Kostieva · MODULE_NOT_FOUND’,requireStack:[删除和恢复文件后

2 年前

user4681670 · 创建react应用程序正在中止-未找到ESLINT

2 年前

MichaÅ Sadowski · 使用npm安装Angular CLI时的EconReset

6 年前

batmaniac · 在ng build angular中运行严格编译

6 年前

Fered · Npm、Dev dependecy或dependecy,当使用webpack等将所有内容打包到一个脚本中时?

6 年前

Andy Nguyen · 找不到模块“gulp sass”

6 年前

Glynn Smith · 通过包将视觉样式应用于npm脚本中使用的echo命令。json

6 年前

Redtxai · 创建一个简单的静态页面,并通过NPM安装和启动[关闭]

6 年前

Nicholas Porter · react脚本build then serve提供的是html,而不是main。js文件

6 年前

Natalie Perret · 如何在WebStorm中调试Angular应用程序?

6 年前