npm注册表

概述

Artifactory为管理npm包提供了全面的支持，并确保了对npmjs.org。将多个npm注册表聚合在一个虚拟存储库Artifactory下，让你可以通过一个URL访问所有的npm包，既可以上传也可以下载。

作为一个功能齐全的npm注册表高级工件管理， Artifactory的支持npm提供:

能够从Artifactory向npm命令行工具提供来自所有存储库类型的npm包。
计算托管在Artifactory本地存储库中的npm包的元数据。
访问远程npm注册表(例如https://registry.npmjs.org)通过远程存储库它提供了通常的代理和缓存功能。
通过将多个npm注册表聚合在同一个URL下，可以访问多个npm注册表虚拟存储库。这克服了npm客户端一次只能访问单个注册表的限制。
与NPM命令行工具部署和删除包等。
支持灵活的NPM存储库布局它允许您组织NPM包，并根据项目或开发团队分配访问权限。
支持验证远程npm存储库元数据。

Npm版本支持

Artifactory支持npm 1.4.3及以上版本。

配置

本地npm注册表

要启用在本地存储库中计算npm包元数据，请设置包类型来npm创建存储库时:

页面内容

集成的好处

JFrog Artifactory和npm registry

仓库布局

Artifactory允许你为你的npm注册表定义任何布局。为了根据自定义布局上传包，你需要使用npm包命令。这会为包创建.tgz文件，然后你可以将其上传到本地npm存储库中的任何路径。

远程npm注册表

一个远程存储库Artifactory中定义的作为在远程URL上管理的注册中心的缓存代理，例如https://registry.npmjs.org。从远程存储库请求的工件(如TGZ文件)将按需缓存。您可以从远程存储库缓存中删除下载的构件，但是，您不能手动将构件部署到远程npm注册表中。

定义一个远程存储库来代理远程npm注册表:

在管理模块,在存储库|远程，点击新。
在新建远程存储库对话框:
a.设置包类型来npm和的库的关键价值。
b.在配置文件中指定远端注册表的URLURL字段。
点击保存并完成。

虚拟npm注册表

Artifactory中定义的虚拟存储库聚合来自本地和远程存储库的包。
这允许你从为虚拟存储库定义的单个URL访问本地托管的npm包和远程代理的npm注册表。

定义一个虚拟的npm注册表:

创建一个虚拟存储库，设置包类型来npm。
选项中要包含的基础本地和远程npm注册中心基本设置选项卡。
点击保存并完成创建存储库。

高级配置

Npm虚拟存储库高级配置

下面的田野外部依赖重写连接到自动重写外部依赖项对于需要它们的NPM包。

启用依赖重写

选中后，将重写外部依赖项。

缓存远程存储库

由该虚拟存储库聚合的远程存储库，外部依赖将缓存在该虚拟存储库中。

白名单模式

ant样式路径表达式的白名单，指定可以从哪里下载外部依赖项。默认情况下，设置为**这意味着依赖关系可以从任何外部源下载。

例如，如果您希望将外部依赖项限制为只能从github.com，你应该加上* * * * github.com(并删除默认值**表达式)。

使用npm命令行

Npm存储库必须在路径中加上api/ Npm前缀

当通过Artifactory访问npm存储库时，存储库URL必须以api / npm在小路上。这适用于所有npm命令，包括npm安装和npm发布。

例如，如果你是单独使用Artifactory或作为本地服务，你可以使用以下URL访问npm库:

http://localhost:8081/artifactory/api / npm /<库关键>

或者，如果您正在使用Artifactory SaaS，则URL为:

https:// < server name >。jfrog.io / <服务器名> /api / npm /<库关键>

要使用npm命令行，你需要确保npm已经安装。的最新版本中包含了Npmnode . js。

请参考通过包管理器安装Node.js在GitHub或npm README页面。

一旦你创建了你的npm存储库，你就可以在树浏览器中选择它并点击帮我介绍要获取代码片段，你可以用它来修改你的npm注册库URL，使用npm命令行工具部署和解析包。

设置默认注册表

要让你的npm命令行客户端与Artifactory一起工作，你首先需要使用以下命令设置默认的npm注册表和Artifactory npm存储库(下面的例子使用了一个名为npm-repo）：

替换默认注册表

npm config set registry http://:8081/artifactory/api/npm/npm-repo/

对于有作用域的包，使用以下命令:

npm config set @:registry http://:8081/artifactory/api/npm/npm-repo/

我们建议参考虚拟存储库URL作为注册中心。这给了你灵活性重新配置和聚合您部署的其他外部源和本地NPM包存储库。

注意，如果这样做，您需要使用——注册表参数指定要将包发布到其中的本地存储库npm发布命令。

验证npm客户端

一旦你设置了默认注册表，你需要通过以下两种方式之一来认证npm客户端:

运行npm登录命令
使用基本身份验证。

使用npm login

身份验证使用npm登录在5.4版引入。

在npm客户端中运行以下命令。当出现提示时，提供您的Artifactory登录凭据:

npm登录

运行此命令后，Artifactory将创建一个不可过期的访问令牌客户端使用哪一个对Artifactory进行后续和npm安装npm发布行动。

如果令牌从Artifactory中删除，客户端将不得不再次登录以接收新的令牌。

使用基本认证

要支持基本身份验证，请编辑您的.npmrc文件并输入以下内容:

您的Artifactory用户名和密码(格式化)用户名:密码),Base64编码的字符串
你的电邮地址(npm发布将不工作，如果你的电子邮件没有指定在.npmrc）
集Always-auth = true

.npmrc文件位置

窗口:% userprofile % \ .npmrc

Linux:~ / .npmrc

直接从Artifactory获取.npmrc条目

运行以下命令直接从Artifactory中检索这些字符串:

$ curl -uadmin: http://:8081/artifactory/api/npm/auth

其中是您的人工密码，API密匙或访问令牌

下面是一个回应的例子:

_auth = YWRtaW46e0RFU2VkZX1uOFRaaXh1Y0t3bHN4c2RCTVIwNjF3PT0= email = myemail@email.com always-auth = true

另外，如果你也在处理有作用域的包，你还需要运行以下命令:

curl -uadmin: http://:8081/artifactory/api/npm/npm-repo/auth/

其中是您的人工密码或API密匙。

将此命令的响应粘贴到~ / .npmrc文件在您的机器上(在Windows中，% USERPROFILE % / .npmrc）.

解析npm包

一旦配置了npm命令行工具，每个npm安装命令将从上面指定的NPM存储库中获取包。
例如:

$ npm install request npm http GET http://localhost:8081/artifactory/api/npm/npm-repo/request npm http 200 http://localhost:8081/artifactory/api/npm/npm-repo/request npm http GET http://localhost:8081/artifactory/api/npm/npm-repo/request/-/request-2.33.0.tgz npm http 200 http://localhost:8081/artifactory/api/npm/npm-repo/request/-/request-2.33.0.tgz

npm审计

Artifactory现在支持npm审计，允许你在NPM项目的依赖树中获取漏洞。

审计报告包含有关依赖项安全漏洞的信息，可以通过提供npm命令和进一步故障排除的建议来帮助修复漏洞。

默认情况下，当npm虚拟存储库聚合了至少一个支持npm审计的远程存储库时，该功能将被启用。例如，指向的远程存储库https://registry.npmjs.org或Artifactory智能远程存储库。

拥有Artifactory Pro X / Enterprise / Enterprise+许可证的JFrog Xray用户将获得一份增强的审计报告，其中包括来自Xray数据库的安全漏洞。当Xray配置为与Artifactory一起工作时，即使不连接到任何远程存储库，也可以从头生成审计报告。

用户提供读权限在NPM虚拟存储库中可以使用以下NPM命令:

命令	描述
`npm审计`	生成的npm客户端发送的依赖树返回一个漏洞报告https://npmjs.com/并可选择通过Jfrog Xray增强。
`NPM审计修复`	获取与的相同报告`npm审计`并试图根据报告中的建议自动采取行动。

为了改变npm审计报告的来源，设置"npm.default.audit.provider"系统属性(default)。https://registry.npmjs.org)到所需的审计提供程序url。

了解更多关于npm审计的信息。

npm Publish(部署包)

设置证书

使用npm命令行工具需要执行一些敏感操作，例如发布是否按照以下描述进行认证验证npm客户端以上。

部署软件包

有两种方法可以将包部署到本地存储库:

编辑你的package.json文件并添加publishConfig节到本地存储库:
“publishConfig”:{“注册表”:“http://localhost:8081/artifactory/api / npm/ npm-local / "}
提供一个本地存储库npm发布命令:
NPM发布——registryhttp://localhost:8081/artifactory/api / npm/ npm-local /

指定最新版本

默认情况下，Artifactory中npm注册表中“最新”版本的包就是最高的那个SemVer版本号。您可以覆盖此设置，以便Artifactory将最近上传的包作为“最新”版本返回。这样做，在Artifactory的系统中。属性文件，添加或设置:

artifactory.npm.tag.tagLatestByPublish = true

在没有匿名访问的情况下使用Artifactory

默认情况下，Artifactory允许匿名访问npm存储库。的定义管理模块下安全|一般。详情请参阅允许匿名访问。
如果希望跟踪用户与存储库的交互方式，则需要禁用允许匿名访问设置。这意味着用户需要输入用户名和密码，如设置证书以上。

使用OAuth凭证

Artifactory使用GitHub Enterprise作为其默认OAuth提供程序。如果您有帐户，您可以使用您的GitHub Enterprise登录详细信息进行身份验证npm登录命令。

npm搜索

Artifactory支持多种搜索工件的方法。详情请参阅搜索工件。
Artifactory还支持NPM搜索[搜索词…]。但是，由于以下原因，这些软件包在发布后可能无法立即使用:

本地存储库:将包发布到本地存储库时，Artifactory计算异步搜索索引。
虚拟存储库:由于虚拟存储库可能包含本地存储库，因此新发布的包可能无法立即可用。

在远程存储库的情况下，只有在Artifactory根据检索缓存周期设置。

Artifactory用两个属性注释每个部署或缓存的npm包:npm.name和npm.version。

你可以使用属性搜索根据NPM包的名称或版本搜索NPM包。

清理本地npm缓存

npm客户端保存下载的缓存包，以及JSON元数据响应(命名为.cache.json）.

JSON元数据缓存文件包含npm客户端用来与服务器通信的url，以及之前请求发送的其他ETag元素。

我们建议在第一次使用Artifactory之前删除npm缓存(包和元数据响应)。这是为了确保您的缓存只包含由于Artifactory请求而不是直接来自Artifactory的元素https://registry.npmjs.org。

Windows系统默认的缓存目录为% APPDATA % \ npm-cache而在Linux上是~ / .npm。

npm作用域包

人工完全支持NPM作用域包。这种支持对用户是透明的，不需要对npm客户端进行任何不同的使用。

Npm '斜杠'字符编码

默认情况下，npm客户端在与npm注册表通信之前，会将斜杠字符('/')编码为它们的ASCII表示形式("%2f")。如果运行Tomcat作为HTTP容器(Artifactory的默认值)，则会生成“HTTP 400”错误，因为Tomcat默认情况下不允许编码斜杠。为了…一起工作npm有作用域的包，你可以类中定义以下属性来重写此默认行为catalina.propertiesTomcat的文件:

org.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH = true

你也可以添加-Dorg.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH = true$ARTIFACTORY_HOME/etc/default(用于服务安装)或$ARTIFACTORY_HOME/bin/artifactory.default文件。注意，自从Artifactory4.4.3版本，捆绑的Tomcat默认配置为启用编码斜杠。如果您使用的是以前的版本，则需要调整上面的Tomcat属性。

URL解码和反向代理

如果Artifactory运行在反向代理之后，请确保在代理本身上禁用URL解码，以便与npm作用域包一起工作。

对于Apache，添加“AllowEncodedSlashes NoDecode指令在块中。

为npm客户端配置作用域注册表

使用登录凭据

范围可以与单独的注册中心关联。这样就可以无缝地使用来自公共npm注册中心和一个或多个私有注册中心的包组合。

例如，您可以关联作用域@jfrog通过注册表http://localhost:8081/artifactory/api/npm/npm-local/通过手动更改~ / .npmrc文件并添加如下配置:

@jfrog:registry=http://localhost:8081/artifactory/api/npm/npm-local/ //localhost:8081/artifactory/api/npm/npm-local/:_password=cGFzc3dvcmQ= //localhost:8081/artifactory/api/npm/npm-local/:username=admin //localhost:8081/artifactory/api/npm/npm-local/:email=myemail@email.com //localhost:8081/artifactory/api/npm/npm-local/:always-auth=true

直接从Artifactory获取.npmrc条目

在Artifactory 3.5.3中，你可以使用下面的命令直接从Artifactory获取这些字符串:

$ curl -uadmin:密码“http://localhost:8081/artifactory/api/npm/npm-local/auth/jfrog”
@jfrog:注册表= http://localhost: 8081 / artifactory / api / npm / npm-local /
/ / localhost: 8081 / artifactory / api / npm / npm-local /: _password = QVA1N05OaHZTMnM5Qk02RkR5RjNBVmF4TVFl
/ / localhost: 8081 / artifactory / api / npm / npm-local /:用户名= admin
/ / localhost: 8081 / artifactory / api / npm / npm-local /:电子邮件= admin@www.si-fil.com
/ / localhost: 8081 / artifactory / api / npm / npm-local /: always-auth = true

需要用户邮箱

当使用范围认证时，npm需要一个有效的电子邮件地址。请确保您在Artifactory用户配置文件中包含了您的电子邮件地址。

该密码只是您的Artifactory密码的base64编码，与旧的身份验证配置。

推荐npm命令行工具2.1.9及更高版本。

虽然npm作用域包在npm命令行工具2.0版就已经可用了，但我们强烈建议只在npm命令行工具2.1.9版中使用npm作用域包和Artifactory。

自动重写外部依赖

npm客户端请求的包经常使用包中定义的外部依赖项。包. json文件。反过来，这些依赖关系可能需要额外的依赖关系。因此，在下载npm包时，你可能无法完全了解原始包所需的全部依赖集(无论是直接的还是传递的)。因此，您面临着从未知外部资源下载恶意依赖项的风险。2022世界杯阿根廷预选赛赛程

为了管理这种风险，并维护通过Artifactory使用外部包的最佳实践，您可以指定一个“安全”的白名单，从该白名单中可以下载依赖项，并将其缓存在Artifactory中，并配置为重写依赖项，以便nPM客户端通过虚拟存储库访问依赖项，如下所示:

选择启用依赖重写复选框在NPM虚拟存储库中高级配置。
指定可以从中下载依赖项的外部资源的白名单模式。2022世界杯阿根廷预选赛赛程
指定应该缓存这些依赖项的远程存储库。
最好为此配置一个专用的远程存储库，这样更容易维护。

在下面的例子中，外部依赖被缓存在“npm”远程存储库中，并且只缓存来自的包https://github.com/jfrogdev允许被缓存。

Artifactory支持所有可能的简写解析器，包括:

git + ssh: / / user@hostname:项目。git# commit-ish git + ssh: / / user@hostname /项目。git# commit-ish git + https://git@github.com/ <用户名> / <文件名> .

重写工作流

下载npm包时，Artifactory会分析包所需的依赖项列表。
如果任何依赖项托管在外部资源上(例如on2022世界杯阿根廷预选赛赛程github.com)，这些资源在白名单中指定2022世界杯阿根廷预选赛赛程，
1. Artifactory将从外部资源下载依赖项。
2. Artifactory将在配置为缓存外部依赖项的远程存储库中缓存依赖项。
3. Artifactory将修改依赖项在包中的条目包. json文件，指示它在Artifactory远程存储库缓存中的新位置，然后将其返回给Npm客户端。
因此，每次npm客户端需要访问依赖项时，它都将从Artifactory远程存储库缓存中的新位置提供。

SemVer支持

出自人工6.17,tnpm虚拟存储库的外部依赖重写功能支持额外的SemVer表达式，例如semver: 4. x.0。

如果遇到SemVer问题，可以使用新功能标志恢复更改。artifactory.npm.semver4j.enabled，将其值更改为false。

查看单个npm包信息

Artifactory允许你直接从UI中查看npm包的选定元数据。

在树浏览器,向下钻取以选择要检查的TGZ文件。元数据以n为单位显示点信息选项卡。

npm构建信息

通过使用JFrog CLI运行npm构建，你可以在Artifactory中存储详尽的构建信息。

JFrog CLI从构建代理收集构建信息，然后将其发布到Artifactory。发布后，可以在构建浏览器下构建。

有关使用JFrog CLI集成npm构建的更多细节，请参考构建npm包请参见《JFrog CLI用户指南》。

观看视频