我在为node.js/io.js容器（you/iojs）创建一个基础映像时发现了一个比较优雅的解决方案：
1.登录到你的私人npm注册表与这用户你想使用的docker
1.复制此操作生成的.npmrc文件
示例.npmrc：

registry=https://npm.mydomain.com/
username=dockerUser
email=docker@mydomain.com
strict-ssl=false
always-auth=true
//npm.mydomain.com/:_authToken="someAuthToken"

1.创建一个Dockerfile，它可以适当地复制.npmrc文件。
下面是我的Dockerfile（基于iojs:onbuild）：

FROM iojs:2.2.1

MAINTAINER YourSelf

# Exclude the NPM cache from the image
VOLUME /root/.npm

# Create the app directory
RUN mkdir -p /usr/src/app
WORKDIR /usr/src/app

# Copy npm config
COPY .npmrc /root/.npmrc

# Install app
ONBUILD COPY package.json /usr/src/app/
ONBUILD RUN npm install
ONBUILD COPY . /usr/src/app

# Run
CMD [ "npm", "start" ]

1.将所有的node.js/io.js容器都设置为FROM you/iojs，就可以开始了。

在2020年，我们推出了BuildKit，你不必再通过COPY或ENV传递秘密，因为这被认为是不安全的。
样品Dockerfile：

# syntax=docker/dockerfile:experimental
FROM node:13-alpine

WORKDIR /app

COPY package.json yarn.lock ./

RUN --mount=type=ssh --mount=type=secret,id=npmrc,dst=$HOME/.npmrc \
  yarn install --production --ignore-optional --frozen-lockfile

# More stuff...

然后，您的建置命令可能如下所示：

docker build --no-cache --progress=plain --secret id=npmrc,src=/path-to/.npmrc .

如需详细信息，请参阅：https://docs.docker.com/develop/develop-images/build_enhancements/#new-docker-build-secret-information

对于那些通过google找到这篇文章，并且仍然在寻找一种替代方式，不涉及在你的Docker图像和容器上留下你的私人npm令牌的人：
我们可以在docker build之前先执行npm install（这样做可以让您的.npmrc不在您的image\container中）。一旦私有模块安装在本地，您就可以将您的文件复制到映像中，作为构建的一部分：

# Make sure the node_modules contain only the production modules when building this image
    COPY . /usr/src/app

您还需要确保您的.dockerignore文件不排除node_modules文件夹。
一旦你把文件夹复制到你的映像中，技巧是复制到npm rebuild而不是npm install。这将重建任何受构建服务器和docker操作系统之间的差异影响的本机依赖关系：

FROM nodesource/vivid:LTS

    # For application location, default from nodesource is /usr/src/app
    # Make sure the node_modules contain only the production modules when building this image
    COPY . /usr/src/app
    WORKDIR /usr/src/app
    RUN npm rebuild
    CMD npm start

我建议不要使用.npmrc文件，而是使用npm config set文件。这样做很有魅力，而且更干净：

ARG AUTH_TOKEN_PRIVATE_REGISTRY

FROM node:latest

ARG AUTH_TOKEN_PRIVATE_REGISTRY
ENV AUTH_TOKEN_PRIVATE_REGISTRY=${AUTH_TOKEN_PRIVATE_REGISTRY}

WORKDIR /home/usr/app

RUN npm config set @my-scope:registry https://my.private.registry && npm config set '//my.private.registry/:_authToken' ${AUTH_TOKEN_PRIVATE_REGISTRY}

RUN npm ci

CMD ["bash"]

buildkit的答案是正确的，除了它以root身份运行所有内容，这被认为是一种糟糕的安全做法。
下面是一个工作的Dockerfile，它使用正确的用户node作为节点Dockerfile设置。注意，secret mount设置了uid参数，否则它将以root用户的身份挂载，用户node无法读取该参数。还要注意，将node:node更改为user:group的正确COPY命令

FROM node:12-alpine

USER node

WORKDIR /home/node/app

COPY --chown=node:node package*.json ./

RUN --mount=type=secret,id=npm,target=./.npmrc,uid=1000 npm ci

COPY --chown=node:node index.js .

COPY --chown=node:node src ./src

CMD [ "node", "index.js" ]

@paul-s现在应该是可接受的答案，因为它是更新的IMO。作为补充，您提到您正在使用docker/build-push-action操作，因此您的工作流程必须如下所示：

- uses: docker/build-push-action@v3
  with:
    context: .
    # ... all other config inputs
    secret-files: |
      NPM_CREDENTIALS=./.npmrc

然后，当然，使用您指定的ID从您的dockerfile绑定.npmrc文件。在我的例子中，我使用的是基于Debian的映像（uid从1000开始）。

RUN --mount=type=secret,id=NPM_CREDENTIALS,target=<container-workdir>/.npmrc,uid=1000 \
npm install --only=production