因为我们不希望项目代码中包含敏感数据,包括 package.json 文件,所以我认为使用环境变量是一个合乎逻辑的选择。
示例 package.json:
"dependencies": {
"accounting": "~0.4.0",
"async": "~1.4.2",
"my-private-module":"git+https://${BB_USER}:${BB_PASS}@bitbucket.org/foo/bar.git"
这可能吗?
问题是不是如果这是明智或不好,只是如果可能。 p>
【问题讨论】:
标签: node.js heroku npm package.json
如果您使用.env 文件,让我们使用grep 或eval 从 .env 文件中获取值环境变量。
按照@Paul 的建议更新了start2:
"scripts": {
"start": "NODE_ENV=$(grep NODE_ENV .env | cut -d '=' -f2) some_script",
"start2": "eval $(grep '^NODE_ENV' .env) && some_script"
}
【讨论】:
eval $(grep '^NODE_ENV' .env) && some_script
$NODE_ENV 的一种复杂方法。此外,如果NODE_ENV 已经定义为环境变量,则不需要重新定义。似乎它只是让您免于执行 source .env (您可以使用 direnv 之类的东西自动为您执行此操作)。
我有类似但不同的要求。对我来说,我想在脚本中使用环境变量。
我没有直接在 package.json 中使用环境变量,而是这样做:
"some-script": "./scripts/some-script.sh",
在 some-script.sh 中:
#!/bin/sh
npm run some-other-script -- --prop=$SOME_ENV_VAR
【讨论】:
some-other-script中访问prop吗?
不,这是不可能的。您应该使用git+ssh 访问repo,并将私钥存储在~/.ssh。
然后你的行看起来像:
"my-private-module":"git+ssh://git@bitbucket.org/foo/bar.git"
其中不包含任何敏感内容。
【讨论】:
以下是我设法解决package.json 以实现相同目的的方法。它使用从package.json 的自定义部分读取URL 模块的脚本,在其中插入环境变量,并使用npm install --no-save 安装它们(--no-save 可以省略,具体取决于用例)。
作为奖励:它尝试从 .env.json 读取 env 变量,这可以是 gitignore 的,对开发非常有用。
package.json 的自定义部分读取的脚本
env-dependencies.js
const execSync = require('child_process').execSync
const pkg = require('./package.json')
if (!pkg.envDependencies) {
return process.exit(0)
}
let env = Object.assign({}, process.env)
if (typeof pkg.envDependencies.localJSON === 'string') {
try {
Object.assign(env, require(pkg.envDependencies.localJSON))
} catch (err) {
console.log(`Could not read or parse pkg.envDependencies.localJSON. Processing with env only.`)
}
}
if (typeof pkg.envDependencies.urls === 'undefined') {
console.log(`pkg.envDependencies.urls not found or empty. Passing.`)
process.exit(0)
}
if (
!Array.isArray(pkg.envDependencies.urls) ||
!(pkg.envDependencies.urls.every(url => typeof url === 'string'))
) {
throw new Error(`pkg.envDependencies.urls should have a signature of String[]`)
}
const parsed = pkg.envDependencies.urls
.map(url => url.replace(/\${([0-9a-zA-Z_]*)}/g, (_, varName) => {
if (typeof env[varName] === 'string') {
return env[varName]
} else {
throw new Error(`Could not read env variable ${varName} in url ${url}`)
}
}))
.join(' ')
try {
execSync('npm install --no-save ' + parsed, { stdio: [0, 1, 2] })
process.exit(0)
} catch (err) {
throw new Error('Could not install pkg.envDependencies. Are you sure the remote URLs all have a package.json?')
}
将"postinstall": "node env-dependencies.js" 添加到您的package.json,这样它将在每个npm install 上运行
使用您想要的 URL 将您的私有 git 存储库添加到 package.json(注意:它们都必须在根目录中有一个 package.json!):
"envDependencies": {
"localJSON": "./.env.json",
"urls": [
"git+https://${GITHUB_PERSONAL_ACCESS_TOKEN}@github.com/user/repo#semver:^2.0.0"
]
},
(semver 说明符 #semver:^2.0.0 可以省略,但指的是一个 git 标签,这非常有用,因为它使您的 git 服务器成为一个成熟的包管理器)
npm install【讨论】:
不,这是不可能的,因为 npm 不会将任何字符串值视为任何类型的模板。
最好将git+ssh(如果您的提供商支持)与 ssh 代理一起使用。
【讨论】:
您可以像这样使用环境值注入您的 package.json:
任何以 npm_config_ 开头的环境变量都将被解释为配置参数。例如,将 npm_config_foo=bar 放入您的环境中会将 foo 配置参数设置为 bar。任何没有给定值的环境配置都将被赋予真值。配置值不区分大小写,因此 NPM_CONFIG_FOO=bar 的工作方式相同。
【讨论】:
我也有同样的需求,我的解决方案基于@Long Nguyen 的response。这样,我只能依赖 .env 文件中定义的内容。
.env
...
SKIP_PREFLIGHT_CHECK=true
...
package.json
...
"scripts": {
"test": "yarn cross-env $(grep SKIP_PREFLIGHT_CHECK ../../.env) react-app-rewired test --watchAll=false"
}
...
【讨论】:
非常简单直接的解决方案...
包.json
“依赖”:{ ... "my-private-github-repo": "git+https://${ENV.PERSONAL_ACCESS_TOKEN}@github.com/USER/abcd-repo-3.4.0.git", ... }
还有其他使用“DOTENV”npm 包的方法,但是当我们试图解决“Github”包依赖时,它并不能做太多事情。以上似乎是直接的解决方案。
【讨论】: