如何使用私有Github repo作为npm依赖

Question

如何列出一个私人Github上回购为"dependency"中package.json？我尝试了npm的Github URL语法ryanve/example,但是npm install在package文件夹中进行了私有依赖项的"无法安装"错误.是否有一个特殊的语法(或其他机制)依赖私人回购？

Answer 1

它可以通过https和oauth 或 ssh完成.

https和oauth: 创建具有"repo"范围的访问令牌,然后使用以下语法:

"package-name": "git+https://<github_token>:x-oauth-basic@github.com/<user>/<repo>.git"

要么

ssh: setup ssh然后使用以下语法:

"package-name": "git+ssh://git@github.com:<user>/<repo>.git"

(注意在用户之前使用冒号而不是斜杠)

Answer 2

如果有人正在为Git Lab寻找另一个选项并且上面的选项不起作用,那么我们还有另一种选择.对于Git Lab服务器的本地安装,我们发现下面的方法允许我们包含包依赖项.我们生成并使用访问令牌来执行此操作.

$ npm install --save-dev https://git.yourdomain.com/userOrGroup/gitLabProjectName/repository/archive.tar.gz?private_token=InsertYourAccessTokenHere

当然,如果一个人以这种方式使用访问密钥,它应该具有一组有限的权限.

祝好运!

Answer 3

我无法在Docker容器中使接受的答案起作用。

对我有用的是在名为的文件中设置来自 GitHub 的个人访问令牌.netrc

ARG GITHUB_READ_TOKEN
RUN echo -e "machine github.com\n  login $GITHUB_READ_TOKEN" > ~/.netrc 
RUN npm install --only=production --force \
  && npm cache clean --force
RUN rm ~/.netrc

在package.json

"my-lib": "github:username/repo",

Answer 4

使用git有一个https格式

https://github.com/equivalent/we_demand_serverless_ruby.git

此格式接受用户+密码

https://bot-user:xxxxxxxxxxxxxxxxxxxxxxxxxxx@github.com/equivalent/we_demand_serverless_ruby.git

所以你可以做的是创建一个新的用户,它将被用作机器人,只添加足够的权限,他只需要读取你想要在NPM模块中加载的存储库,直接在你的NPM模块中加载 packages.json

 Github > Click on Profile > Settings > Developer settings > Personal access tokens > Generate new token

在Select Scopes部分中,选中on repo:完全控制私有存储库

这样,令牌可以访问用户可以看到的私人回购

现在在组织中创建新组,将此用户添加到组中,并仅添加您希望以这种方式提取的存储库(READ ONLY权限!)

您需要确保仅将此配置推送到私人仓库

然后你可以将它添加到/ packages.json(bot-user是用户名,xxxxxxxxx是生成的个人令牌)

// packages.json


{
  // ....
    "name_of_my_lib": "https://bot-user:xxxxxxxxxxxxxxxxxxxxxxxxxxx@github.com/ghuser/name_of_my_lib.git"
  // ...
}

https://blog.eq8.eu/til/pull-git-private-repo-from-github-from-npm-modules-or-bundler.html

Answer 5

截至 2023 年 4 月，使用 github 存储库唯一对我有用的是：

npm install https://oauth2:<your-fine-grained-token>@github.com/owner/repo.git

或者如果您想指定分支：

npm install https://oauth2:<your-fine-grained-token>@github.com/owner/repo.git#master

例如：

npm install https://oauth2:github_pat_51BR4Zf222bFXEXgW0dg3O_Kdfh5dghIFHJUPOTJYdB4ahsqe607ewCaynCLRu3aAINOKhrUk42HsUd@github.com/facebook#master

您可以在此处创建令牌： https: //github.com/settings/tokens ?type=beta 只读权限足以安装和使用存储库。

Answer 6

回购中没有访问令牌的NPM

此方法要求使用包的任何人使用他们自己的个人访问令牌而不是单个组令牌进行身份验证，这允许存储库没有访问令牌。您也不需要在每次用户不再被授予访问权限时创建新的访问令牌，相反，从 GitHub 中的存储库中删除用户将自动删除他们的包访问权限。

这是 GitHub 的 NPM 指南的精简版： https : //docs.github.com/en/packages/working-with-a-github-packages-registry/working-with-the-npm-registry

将您的 GitHub 存储库发布为 NPM 包

1. 在开发者设置中创建个人访问令牌：https : //github.com/settings/tokens
2. 登录 NPM

npm login --scope=@<USERNAME of repo owner in lowercase> --registry=https://npm.pkg.github.com

Username: <Your personal GitHub username>
Password: <Create a GitHub Access Token with your account and paste it here>
Email: <Email associated with the same account>

例如：用户@Bobby 想要发布 github.com/Jessica/my-npm-package 作为 NPM 包

npm login --scope=@jessica --registry=https://npm.pkg.github.com

Username: bobby
Password: yiueytiupoasdkjalgheoutpweoiru
Email: bobby@example.com

3. 按照package.json以下格式更新。

  "name": "@jessica/my-npm-package",
  "repository": "git://github.com/jessica/my-npm-package.git",
  "publishConfig": {
    "registry":"https://npm.pkg.github.com"
  },

4. 要发布 NPM 包，请运行：

npm publish

在项目中安装私有 NPM 包

1. 以与上述第 2 步完全相同的方式登录到 NPM。
2. 安装包 npm install @jessica/my-npm-package

完毕！

如果您的项目有需要安装此私有 NPM 包的 GitHub Actions 脚本，请继续阅读。

GitHub 操作：如何安装私有 NPM 包

在 CI 环境中，您还需要npm login进行类似的身份验证。否则，npm install将失败，因为它无权访问私有 NPM 包。一种预先配置它的方法是使用.npmrc文件；但是，这会将身份验证凭据提交给该文件的存储库。因此，另一种方法是使用 NPM 工具npm-cli-login。要求您要么使用自己的个人访问令牌（不是最佳选择：您离开存储库，CI 中断），要么专门为 CI 设置一个 GitHub 帐户并使用该帐户创建一个访问令牌。

1. 使用仅限 CI 的 GitHub 帐户创建访问令牌或从您自己的 GitHub 帐户获取访问令牌。
2. 在存储库设置中，将该访问令牌作为“秘密”添加到您的存储库中。
3. 在安装 NPM 之后和运行之前，更新您的 GitHub 操作工作流脚本以运行此步骤npm install：

- name: Login to GitHub private NPM registry
  env:
    CI_ACCESS_TOKEN: ${{ secrets.NAME_OF_YOUR_ACCESS_TOKEN_SECRET }}
  shell: bash
  run: |
    npm install -g npm-cli-login
    npm-cli-login -u "USERNAME" -p "${CI_ACCESS_TOKEN}" -e "EMAIL" -r "https://npm.pkg.github.com" -s "@SCOPE"
        

更换NAME_OF_YOUR_ACCESS_TOKEN_SECRET，USERNAME，EMAIL和SCOPE。

例如

- name: Login to GitHub private NPM registry
  env:
    CI_ACCESS_TOKEN: ${{ secrets.MY_TOKEN }}
  shell: bash
  run: |
    npm install -g npm-cli-login
    npm-cli-login -u "ci-github-account" -p "${CI_ACCESS_TOKEN}" -e "ci-github-account@example.com" -r "https://npm.pkg.github.com" -s "@jessica"

完毕！

现在，当 GitHub Actions 稍后运行时npm install，脚本将可以访问私有 NPM 包。

仅供参考：如果您熟悉 GitHub Actions，您可能会问为什么我们不能使用secrets.GITHUB_TOKENGitHub 自动提供的内容？原因是secrets.GITHUB_TOKEN 只能访问运行 GitHub Actions 的存储库，而无权访问私有 NPM 包的存储库。