gpt4 book ai didi

npm - 在 .npmrc 中使用身份验证 token

转载 作者:行者123 更新时间:2023-12-04 11:03:10 31 4
gpt4 key购买 nike

我有一个项目,我们使用 font awesome 5 库。我按照 here 中的说明进行操作并添加了 .npmrc使用我的身份验证 token 归档。

将其放入 repo 中是一种安全的行为吗?我希望开发人员能够访问它,但如果 repo 公开,我们可能会暴露 token 。

在这种情况下,最佳做法是什么?

最佳答案

更新 2021-05-02
这个答案仍然值得怀疑 - 请参阅下面的评论。我不再有权访问私有(private)($paid)npm 帐户,因此我无法再通过测试来回答问题。
也许试试@konyak 的回答。

绝对不是 将 token 放入任何 git 检查文件(包括 .npmrc)的安全行为。
以下是您的团队可以采取的步骤来安全地利用您的 npm 代币。
有两种不同的环境需要考虑:

  • 每个开发者的本地开发机
  • 应用的部署平台

  • 本地开发
    关注 Global Set Up instructions你在你的问题中链接到,不是解决方案。
    创建类似于 "Per project" instructions 的 .npmrc 文件, 但是用变量名替换你的真实标记,前缀为 $ . IE:
    @fontawesome:registry=https://npm.fontawesome.com/
    //npm.fontawesome.com/:_authToken=$TOKEN
    npm 将检测一个名为 .env 的环境变量文件.所以,在 .gitignore d .env 文件,添加您的 key 值对,即:
    TOKEN=ABC123
    根据 npm-config docs,你也可以在变量名前加上“NPM_CONFIG_”。 , IE:
    NPM_CONFIG_TOKEN=ABC123
    现在,当开发运行 npm i , font-awesome 依赖将从私有(private)仓库加载。
    注意 :不要遵循当前关于环境变量语法的 npm-config 文档!见 this stack overflow answer , IE:
    👎 BAD npm-config ENVIRONMENT VAR SYNTAX 👎

    ${TOKEN}
    👍 GOOD npm-config ENVIRONMENT VAR SYNTAX 👍

    $TOKEN
    应用部署平台
    执行上述本地开发部分的所有步骤,另外:
  • 在平台上创建一个与 .npmrc 文件同名的环境变量。

  • 如果您的应用主机是 Netlify,请参阅他们的 Build Environment Variables docs .

    关于npm - 在 .npmrc 中使用身份验证 token ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53099434/

    31 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com