Protezione dei pacchetti

verdaccio consente di proteggere la pubblicazione. Per ottenere ciò è necessario configurare correttamente l'accesso ai pacchetti.

Configurazione del pacchetto

Vediamo, per esempio, la seguente configurazione. Si dispone di una serie di dipendenze che hanno come prefisso my-company-* e si necessita di proteggerle da anonimi o da altri utenti loggati senza credenziali.

'my-company-*':
  access: admin teamA teamB teamC
  publish: admin teamA

Con questa configurazione, si permette fondamentalmente di raggruppare admin e teamA per pubblicare e teamA teamB teamC per accedere a tali dipendenze.

Caso d'uso: teamD prova ad accedere alla dipendenza

Quindi, se io sono loggato come teamD non dovrei poter accedere a tutte quelle dipendenze che corrispondono al modello my-company-*. Non dovrei poter accedere a tutte le dipendenze corrispondenti allo schema mia-azienda-*.

➜ npm whoami
teamD

Non avrò accesso a tali dipendenze, né saranno visibili tramite l'interfaccia web per il teamD dell'utente. Se provo ad accedervi, succederà quanto segue:

➜ npm install my-company-core
npm ERR! code E403
npm ERR! 403 Forbidden: webpack-1@latest

o con yarn

➜ yarn add my-company-core
yarn add v0.24.6
info No lockfile found.
[1/4] 🔍  Risolvendo i pacchetti...
errore Si è verificato un errore imprevisto: "http://localhost:5555/webpack-1: gli gli utenti non registrati non sono autorizzati ad accedere al pacchetto mia-azienda-core".