網站導覽
目錄
關於存取權杖
目錄
注意:您必須使用 npm 版本 5.5.1 或更高版本才能使用存取權杖。
存取權杖是使用 API 或 npm 命令列介面 (CLI) 驗證 npm 時,除了使用您的使用者名稱和密碼之外的另一種選擇。存取權杖是一個十六進位字串,您可以使用它來驗證,並且它會讓您有權利安裝和/或發布您的模組。
有兩種存取權杖可用
您可以建立存取權杖,讓其他工具(例如持續整合測試環境)存取您的 npm 套件。例如,GitHub Actions 提供儲存 機密(例如存取權杖)的功能,您可以在驗證時使用這些機密。當您的工作流程執行時,它將能夠以您的身分完成 npm 任務,包括安裝您有權存取的私人套件。
您可以使用網路或 CLI 中的權杖,哪一種最容易就用哪一種。您在每個環境中執行的動作都會反映在另一個環境中。
npm 權杖指令讓您可以
- 查看權杖以更輕鬆地追蹤和管理
- 建立新的傳統權杖
- 根據 IP 位址範圍 (CIDR) 限制存取
- 刪除/撤銷權杖
如需有關在網路和 CLI 上建立和查看存取權杖的詳細資訊,請參閱「建立和查看存取權杖」。
關於舊版權杖
傳統權杖會以建立它們的使用者相同權限建立。當您執行 npm login 時,npm CLI 會自動產生並使用發佈權杖。
有三種不同類型的傳統權杖
- 唯讀:您可以使用這些權杖從註冊表下載套件。這些權杖最適合您安裝套件的自動化和工作流程。為了更安全的緣故,我們建議您改用 細粒度存取權杖。
- 自動化:您可以使用這些權杖下載套件和安裝新的套件。這些權杖最適合您發佈新套件的自動化工作流程。自動化權杖不需要 2FA 即可在 npm 上執行操作,適合 CI/CD 工作流程。為了更安全的緣故,我們建議您改用 細粒度存取權杖。
- 發佈:您可以使用這些權杖下載套件、安裝套件,以及更新使用者和套件設定。我們建議您將它們用於互動式工作流程,例如 CLI。如果您的帳戶啟用了 2FA,發佈權杖將需要 2FA 才能在 npm 上執行敏感操作。
傳統權杖沒有到期日。重要的是要知道您的權杖並保護它們以確保帳戶安全。如需詳細資訊,請參閱「保護您的權杖」。
關於細粒度存取權杖
細粒度存取權杖能讓您根據您想使用權杖的目的,限制提供給權杖的存取權。有了細粒度存取權杖,您可以
- 限制權杖能存取哪些套件和範圍
- 授予權杖存取特定組織的權限
- 設定權杖到期日
- 根據 IP 位址範圍限制權杖存取權
- 在唯讀或讀寫存取權之間進行選擇
您可以在 npm 帳戶上建立多達 1000 個細粒度存取權杖。您可以設定權杖的有效期限,至少為未來一天。每個權杖可以存取多達 50 個組織,以及多達 50 個套件、50 個範圍,或 50 個套件和範圍的組合。存取權杖與使用者的權限相關聯;因此,它在任何時間點都不會擁有比使用者更多的權限。如果使用者的套件或組織存取權遭到撤銷,其細粒度存取權杖也會撤銷對這些套件或組織的存取權。
當您授予權杖存取組織的權限時,該權杖只能用於管理組織設定、團隊或與組織相關的使用者。它不會授予權杖發布由組織管理的套件的權利。
