我有一个项目,我们使用 font awesome 5 库。我按照此处编写的说明操作,并添加了一个.npmrc带有我的身份验证令牌的文件。
将其放入回购中是一种安全的行为吗?我希望开发人员可以访问它,但是如果 repo 公开,我们可能会暴露令牌。
在这种情况下,最佳做法是什么?
我在从 GCP 安装 NPM 软件包时遇到问题。
我可以通过执行以下步骤将包上传到 GCP 的工件注册表:
登录我的谷歌帐户 ( gcloud auth application-default login)
跑步
gcloud artifacts print-settings npm \ --project=[my-project]\ --repository=[my-repo] \ --location=us-east1 \ --scope=@[my-scope]
将上一步的输出粘贴到.npmrc位于项目根目录的文件中。
刷新 GCP 的访问令牌 ( npx google-artifactregistry-auth ./.npmrc)
跑步yarn publish
我的.npmrc文件如下所示:
@[my-scope]:registry=https://us-east1-npm.pkg.dev/[my-project]/[my-repo]/
//us-east1-npm.pkg.dev/[my-project]/[my-repo]/:_authToken="[auth-token]"
//us-east1-npm.pkg.dev/[my-project]/[my-repo]/:always-auth=true
但是,当我尝试通过以下方式在另一个项目上安装该包时:
yarn add @[my-scope]/[my-package]我收到 404 错误。看起来yarn正在默认注册表中寻找包:
error An unexpected error occurred: "https://registry.yarnpkg.com/@[my-scope]/@[my-pacakge]/-/@[my-scope]/[my-package]-0.0.1.tgz: Request failed \"404 Not Found\"".
我只是按照 GCP 安装说明中提到的步骤进行操作,但不知何故它不起作用。
我在这篇文章中遇到了类似的问题:无法安装我发布到 GCP 中的 npm 注册表的范围包,但这不是我得到的确切错误。
对于这个问题的任何帮助,我将不胜感激。
提前致谢!