По какой-то причине время от времени (кажется, что он не определен c) при запуске npm install в папке проекта, npm решит обновить записи package-lock.json (не все они, как правило, только некоторые из них) содержат токен авторизации моего .npmrc файла. Моя компания использует MyGet.org в качестве своей платформы управления фидами, и они поддерживают обычный процесс аутентификации .npmrc, где этот файл содержит токен, подобный следующему:
registry=https://www.myget.org/F/<feed>/npm/
//www.myget.org/F/<feed>/npm/:_authToken=<AUTH_TOKEN>
//www.myget.org/F/<feed>/npm/:always-auth=true
С этим файлом .npmrc в моем пользовательском каталоге, Теперь я могу установить частных пакетов с MyGet.org . Большая проблема, с которой мы столкнулись, заключается в том, что <AUTH_TOKEN> в приведенном выше файле отображается в нашем package-lock.json после npm install и выглядит следующим образом:
"winston-transport": {
"version": "4.3.0",
"resolved": "https://www.myget.org/F/<feed>/auth/<AUTH_TOKEN>/npm/winston-transport/-/winston-transport-4.3.0.tgz",
"integrity": "sha1-32jAwgJILESNm0cxPAcwTC18LGY=",
"requires": {
"readable-stream": "^2.3.6",
"triple-beam": "^1.2.0"
}
}
До npm install это выглядело так :
"winston-transport": {
"version": "4.3.0",
"resolved": "https://www.myget.org/F/<feed>/npm/winston-transport/-/winston-transport-4.3.0.tgz",
"integrity": "sha1-32jAwgJILESNm0cxPAcwTC18LGY=",
"requires": {
"readable-stream": "^2.3.6",
"triple-beam": "^1.2.0"
}
}
Так что все, что он действительно сделал, это добавил /auth/<AUTH_TOKEN> в URI. До этого сборка работала нормально, поэтому я знаю, что не нужен этот токен для работы. Похоже, что он отлично работает несколько дней или недель, а затем внезапно выполнит эту модификацию. Я пытался исследовать это и не видел никого другого с такой проблемой. Любопытно, если кто-то знает, что может происходить и как это остановить, поскольку он добавляет конфиденциальную информацию в наш источник контроля, который нам не нужен.