这个问题我之前帮不少开发者解决过，核心是要让npm/yarn彻底忽略其他源的配置，强制所有层级的依赖都走你的私有registry，不过前提是你的私有仓库得能代理公网的npm包（比如用Verdaccio、Nexus这类私服工具，配置上游源指向npmjs.org），不然那些私有仓库没有的二级依赖会直接拉取失败。下面分npm和yarn两种情况给你具体配置方案：

NPM 配置方法 #

你需要在项目根目录的.npmrc（针对当前项目）或者用户目录的~/.npmrc（全局生效）中添加以下配置：

# 全局指定所有非scoped包的拉取源为私有registry
registry=https://your-private-registry-url/
# 如果私有仓库需要身份认证，开启强制认证（确保每次请求都带凭证）
always-auth=true
# （可选）如果私有仓库使用自签名SSL证书，关闭严格SSL校验，否则无需添加
# strict-ssl=false
# 强制所有带scope的包也使用私有源，避免部分scoped包被配置了其他源
@*:registry=https://your-private-registry-url/

每个配置的作用：

• registry：覆盖默认的npm官方源，让所有一级、二级甚至更深层级的非scoped依赖都从私有仓库拉取。
• @*:registry：匹配所有带命名空间（scope）的包（比如@babel/core这类），确保它们也强制走私有源。
• always-auth：避免因认证信息缺失导致私有仓库返回401错误，保证拉取流程顺畅。

YARN 配置方法 #

YARN的配置分1.x和2+（Berry）两个版本，分别对应不同的配置文件：

YARN 1.x #

在项目根目录的.yarnrc中添加：

registry "https://your-private-registry-url/"
always-auth true
# （可选）自签名证书场景下关闭严格校验
# strict-ssl false

YARN 2+（Berry） #

在项目根目录的.yarnrc.yml中添加：

# 全局指定registry地址
npmRegistryServer: "https://your-private-registry-url/"
# 开启强制认证
npmAlwaysAuth: true
# （可选）关闭严格SSL校验
# npmStrictSsl: false
# 强制所有带scope的包走私有源
npmScopes:
  "*":
    npmRegistryServer: "https://your-private-registry-url/"

关键注意事项 #

• 清理旧依赖缓存：如果你之前已经安装过依赖，需要删除node_modules文件夹，以及package-lock.json（npm）或yarn.lock（yarn）文件，然后重新执行npm install或yarn install，确保所有依赖都从私有源重新拉取。
• 检查依赖的自定义registry：有些第三方依赖的package.json里可能会指定自己的registry字段，如果遇到这种情况，你需要在私有仓库中同步这些包，或者通过私服的上游代理功能来自动拉取缓存，否则强制走私有源会导致拉取失败。
• 私服上游配置：一定要确认你的私有仓库已经配置了上游代理（比如Verdaccio在config.yaml中配置uplinks指向npmjs.org），这样当私有仓库没有某个包时，会自动从公网拉取并缓存，保证所有依赖都能正常获取。

内容的提问来源于stack exchange，提问作者Logic01