我之前也踩过一模一样的坑——Node项目依赖私有Git仓库，Docker构建时因为没权限拉取直接失败。试了好几种方法，整理出这三个最靠谱的方案，你可以根据自己的场景选：

方案一：用多阶段构建临时挂载SSH密钥（最安全，推荐） #

这个方法的核心是只在构建阶段临时用SSH密钥，最终镜像里完全不留敏感信息，完美兼顾安全性和可行性。

步骤： #

1. 生成专用部署SSH密钥
   别用你日常开发的个人密钥！生成一个只读权限的部署密钥：

   ssh-keygen -t ed25519 -C "docker-build@yourcompany.com" -f docker-deploy-key
   

   把公钥（docker-deploy-key.pub）添加到私有Git仓库的「部署密钥」里（仓库设置里找Deploy Keys选项，勾选只读权限）。

2. 编写多阶段Dockerfile
   用--mount=type=ssh挂载密钥，或者在第一阶段复制密钥用完就删，这里推荐Docker 18.09+支持的ssh挂载方式，更简洁：

   # 第一阶段：拉取依赖（包含密钥操作）
   FROM node:18-alpine AS builder
   WORKDIR /app
   
   # 禁用SSH主机密钥验证（构建时避免交互式提示，生产环境如果需要可以调整）
   RUN mkdir -p /root/.ssh && echo "StrictHostKeyChecking no" >> /root/.ssh/config
   
   # 挂载本地SSH密钥到容器（构建时需要传递--ssh参数）
   RUN --mount=type=ssh npm install
   
   # 第二阶段：构建最终镜像（完全不含密钥）
   FROM node:18-alpine
   WORKDIR /app
   # 只复制第一阶段的node_modules和项目代码
   COPY --from=builder /app/node_modules ./node_modules
   COPY . .
   
   CMD ["node", "index.js"]
   

3. 构建命令
   构建时要告诉Docker挂载SSH代理或者密钥文件：

   # 如果本地已经启动了ssh-agent，直接用代理
   docker build --ssh default=$SSH_AUTH_SOCK -t your-app .
   
   # 或者直接指定密钥文件
   docker build --ssh default=./docker-deploy-key -t your-app .
   

优点： #

• 最终镜像完全没有敏感信息，安全度拉满
• 不需要修改项目的依赖地址
• 适合本地构建和CI/CD环境

方案二：用HTTPS+Git个人访问令牌（PAT）替代SSH #

如果你的环境不方便用SSH（比如某些CI平台对SSH支持有限），可以改用HTTPS方式，用PAT作为凭证。

步骤： #

1. 生成Git个人访问令牌
   在Git平台（比如GitHub/GitLab）的账号设置里生成PAT，只勾选「仓库只读」权限，最小化权限范围。

2. 修改Dockerfile或构建参数
   有两种方式：

   • 方式一：构建时传递PAT，替换依赖地址里的认证部分
     假设你的依赖是git+ssh://git@github.com/your-org/private-pkg.git，改成git+https://${PAT}@github.com/your-org/private-pkg.git，然后用构建参数传递：

     FROM node:18-alpine
     WORKDIR /app
     ARG GIT_PAT
     # 替换package.json里的私有依赖地址（如果不想改本地package.json，可以用sed临时替换）
     RUN sed -i "s/git+ssh:\/\/git@github.com/https:\/\/${GIT_PAT}@github.com/g" package.json
     RUN npm install
     COPY . .
     CMD ["node", "index.js"]
     

     构建命令：

     docker build --build-arg GIT_PAT=your_pat_here -t your-app .
     

   • 方式二：临时设置Git凭证助手
     在Dockerfile里临时配置Git凭证，避免每次拉取都要输入密码：

     FROM node:18-alpine
     WORKDIR /app
     ARG GIT_PAT
     RUN git config --global credential.helper 'store --file ~/.git-credentials' && \
         echo "https://${GIT_PAT}:x-oauth-basic@github.com" > ~/.git-credentials
     COPY package*.json ./
     RUN npm install
     # 安装完删除凭证文件
     RUN rm ~/.git-credentials
     COPY . .
     CMD ["node", "index.js"]
     

优点： #

• 不需要管理SSH密钥，配置更简单
• 适合CI/CD环境，容易通过保密变量传递PAT

注意： #

• 绝对不要把PAT硬编码到Dockerfile里！一定要用构建参数传递，并且在CI里设置为保密变量，避免泄露。

方案三：把私有Git包发布到私有npm仓库（长期维护首选） #

如果是团队项目，长期来看，把私有Git包发布到私有npm仓库（比如Verdaccio、GitHub Packages、GitLab Packages）是最规范的方案，以后不管是本地开发还是Docker构建，都不用再处理Git密钥的问题。

步骤： #

1. 搭建或使用私有npm仓库
   比如用Verdaccio搭一个本地私有仓库，或者直接用GitHub Packages（需要关联你的GitHub账号）。

2. 把私有Git包发布到私有仓库
   在私有包的目录里，修改package.json的publishConfig字段，指定私有仓库地址，然后执行npm publish（需要先登录私有仓库）。

3. Docker构建时配置私有仓库访问
   在项目根目录创建.npmrc文件，配置私有仓库的地址和凭证（比如PAT）：

   @your-org:registry=https://npm.pkg.github.com/
   //npm.pkg.github.com/:_authToken=${GIT_PAT}
   

   然后Dockerfile里正常安装依赖：

   FROM node:18-alpine
   WORKDIR /app
   ARG GIT_PAT
   # 替换.npmrc里的变量
   RUN sed -i "s/\${GIT_PAT}/${GIT_PAT}/g" .npmrc
   COPY package*.json ./
   RUN npm install
   COPY . .
   CMD ["node", "index.js"]
   

   构建命令和方案二类似，传递PAT参数即可。

优点： #

• 统一管理私有包，符合npm生态规范
• 不用再处理Git依赖的权限问题，开发和构建流程更顺畅
• 支持版本管理，比直接拉Git分支更稳定

关键注意事项 #

• 最小权限原则：不管用哪种方案，给的凭证（部署密钥、PAT）都只给只读权限，避免泄露后造成更大损失。
• 不要把敏感信息留在镜像里：用多阶段构建、安装后删除凭证文件等方式，确保最终镜像里没有任何密钥或PAT。
• CI/CD环境保密：在CI平台（比如GitHub Actions、GitLab CI）里，把密钥或PAT设置为保密变量，不要在日志里输出。

内容的提问来源于stack exchange，提问作者Anshul Tripathi