如何使用身份验证令牌

如何使用身份验证令牌

需要npm版本5.5.1或更高版本

无论何时登录npm,都会生成身份验证令牌。令牌授予您发布和访问模块的权限。

由于令牌只是一个十六进制字符串,因此您可以在其他工具中使用该令牌,例如持续集成测试环境,以便该工具可以使用完成任务所需的访问权限运行。例如,Travis-CI提供了一个可以分配给标记值的环境变量。这使Travis-CI能够以npm用户身份运行npm,包括安装您有权访问的私有包的能力。

阅读本章以了解如何管理安全令牌。

令牌命令使您能够:

  • 查看令牌以便于跟踪和管理。

注意:*如果您希望使用令牌进行测试和其他特殊用途,还需要执行其他步骤。

您可以使用Web或CLI中的令牌,最简单的方法。您在每个环境中所做的工作将反映在其他环境中。

使用来自网络的令牌

要开始转到令牌页面。

  • 登录网站。

或者,如果您在Web上的另一个选项卡中工作,则可以单击“标记”选项卡:

创建一个新令牌

如何查看您帐户上的代币

从CLI使用令牌

如何查看您帐户上的代币

要查看与您的帐户关联的令牌,请键入:

npm token list

下表说明了令牌列表。

令牌可以是只读的,也可以是CIDR白名单。

如果您在配置文件上启用了双因素身份验证,则表明您已实现了额外的安全层。

注意:令牌列表显示令牌的截断版本。如果需要查看完整令牌,请查看npmrc文件。

如何创建新令牌

npm token create [--read-only] [--cidr=list]

在创建新令牌之前,请确定所需的令牌类型:

  • 只读(安装/分发权限)

新令牌的默认设置是完全权限。

  • 只读令牌允许安装和分发。

当令牌是只读时,它不能用于更改包。如果未将令牌显式设置为只读,则它具有完全权限,包括发布和修改权限。

如何创建新的完全权限标记:

要创建新的完整权限令牌,请键入:

'npm token create'

如果您设置了双因素身份验证,系统将提示您输入npm密码,然后输入OTP。npm将显示此表:

提示:保存令牌字段的屏幕截图,因为这是您查看它的唯一机会。

请注意,只读默认为false

如何创建新的只读令牌

要创建新的只读令牌,请键入:

npm token create --read-only

如果您设置了双因素身份验证,系统将提示您输入npm密码,然后输入OTP。npm将显示此表:

请注意,只读设置为true

如何创建新的CIDR限制令牌

要限制令牌以便只能从指定的IP地址使用它,您可以创建一个受CIDR限制的令牌。CIDR是Classless Inter-Domain Routing的首字母缩写。该CIDR Wiki页面将让你开始。

使用CIDR限制可以强制任何人或任何使用令牌的系统物理或远程位于指定的IP地址范围内。

npm token create --[--cidr=list]

例:

npm token create --cidr=192.0.2.0/24

如果您设置了双因素身份验证,系统将提示您输入npm密码,然后输入OTP。npm将显示此表:

如果您看到如下消息:

npm ERR! CIDR whitelist contains invalid CIDR entry: X.X.X.X./YY,Z.Z.. . .

(返回的字符串是您输入的字符串)请确保CIDR字符串有效且格式合适。注意:npm目前仅支持IPv4。

如何创建CIDR限制的只读令牌

要创建也是只读的CIDR限制令牌,请键入:

npm token create --read-only --cidr=list

如何撤销令牌

无论何时创建令牌,您都可以删除(撤销)令牌。这使您可以控制您可能希望收回的访问权限。

删除令牌的命令是:

npm token delete

以下是步骤:

  • 类型 npm token list

npm will report 'Removed 1 token'

输入“npm令牌列表”以确认该令牌已被删除。

以下屏幕截图演示了以下步骤:

注意:屏幕插图中显示的所有令牌均已被撤销。

注意:在某些情况下,成功撤销令牌之前可能会有一个小时的延迟。npm目前正致力于在所有情况下立即进行撤销。