Javascript 动态包.json_Javascript_Json_Node.js_Heroku_Npm

Javascript 动态包.json

javascript json node.js heroku npm

Javascript 动态包.json,javascript,json,node.js,heroku,npm,Javascript,Json,Node.js,Heroku,Npm,我正在处理一个nodejs项目，它在package.json中与GitHub有多个私有依赖关系，如下所示： "dependencies" : { "mymodule":"git+https://<token>:xoauthbasic@github.com/my_github_account/my_repo.git#<commit-ish>" } “依赖项”：{ “mymodule”：“git+https://:xoauthbasic@github.com/我的_g

我正在处理一个nodejs项目，它在

package.json

中与GitHub有多个私有依赖关系，如下所示：

"dependencies" : {
   "mymodule":"git+https://<token>:xoauthbasic@github.com/my_github_account/my_repo.git#<commit-ish>"
}

“依赖项”：{
“mymodule”：“git+https://:xoauthbasic@github.com/我的_github_账户/我的_repo.git#”
}

我这里有两个问题：

为了安全起见，我不想将oAuth令牌分离到我的

package.json

文件中

我希望用于依赖关系的分支依赖于它内置的环境。例如：在生产环境中使用#master，在开发环境中使用#development

这些问题有什么解决办法吗？此外，如果这些解决方案能够与Heroku合作，那就太好了。

至于安全令牌，我建议您使用

ssh

身份验证。它更安全，而且您不必在包.json中包含任何凭据。

ssh

身份验证的问题在于它似乎不适用于Heroku。当被问到时，他们说用这个令牌代替。我不是Heroku用户，也不熟悉它的工作流程，但是。无论如何，在运行

npm install

命令之前，要设置

ssh

只需向Heroku实例添加一个特定的私钥即可。听起来并不难。