dynamicPackage.json

我在package.json使用一个具有多个私有依赖的nodejs项目来处理GitHub,如下所示:

 "dependencies" : { "mymodule":"git+https://<token>:xoauthbasic@github.com/my_github_account/my_repo.git#<commit-ish>" } 

我在这里有两个问题:

  1. 为了安全起见,我不希望将oAuth令牌分开放在我的package.json文件中。
  2. 我希望用于依赖关系的分支依赖于它所在的环境。例如:在生产环境中,使用#master,在开发环境中使用#development。

有没有解决这些问题的方法? 另外,如果解决scheme与Heroku一起工作,那将会非常棒。