docs: update npm publishing setup with Trusted Publishing instructions

kolkov · kolkov · commit 0e98e472f6f2 · 2025-11-22T02:42:17.000+03:00
- Add detailed npm Trusted Publishing (OIDC) setup steps
- Mark Granular Access Token method as deprecated
- Document security benefits and workflow configuration
- Reference npm security changes deadline (Nov 15, 2025)
diff --git a/.github/workflows/README.md b/.github/workflows/README.md
@@ -15,22 +15,56 @@
 
 ### Настройка (один раз):
 
-#### 1. Создать NPM Access Token
+#### 🔐 NPM Trusted Publishing (Рекомендуется)
+
+**Современный способ без токенов! (с 15 ноября 2025 классические токены будут отключены)**
 
 1. Зайти на [npmjs.com](https://www.npmjs.com/)
-2. Settings → Access Tokens → Generate New Token
-3. Выбрать тип: **Automation** (для CI/CD)
-4. Скопировать токен
+2. Перейти к пакету: `@kolkov/angular-editor`
+3. **Settings** → **Publishing Access**
+4. **Add Trusted Publisher**
+5. Заполнить форму:
+   - **Provider**: GitHub
+   - **Organization/User**: `kolkov`
+   - **Repository**: `angular-editor`
+   - **Workflow filename**: `npm-publish.yml`
+   - **Environment**: оставить пустым (или указать `production` если используете)
+
+6. **Save** → Готово! 🎉
+
+**Преимущества:**
+- ✅ Не нужны токены (NPM_TOKEN)
+- ✅ Автоматическая ротация ключей
+- ✅ Provenance (криптографическое подтверждение источника)
+- ✅ Повышенная безопасность через OIDC
+
+#### 🔑 Альтернатива: Granular Access Token (устаревший способ)
 
-#### 2. Добавить секрет в GitHub
+**Используйте только если Trusted Publishing недоступен**
 
-1. Открыть репозиторий на GitHub
-2. Settings → Secrets and variables → Actions
-3. New repository secret:
+1. Зайти на [npmjs.com](https://www.npmjs.com/)
+2. Settings → Access Tokens → Generate New Token
+3. Выбрать тип: **Granular Access Token**
+4. Настроить:
+   - **Expiration**: максимум 90 дней
+   - **Packages**: выбрать `@kolkov/angular-editor`
+   - **Permissions**: Read and write
+5. Скопировать токен
+
+6. Открыть репозиторий на GitHub
+7. Settings → Secrets and variables → Actions
+8. New repository secret:
    - Name: `NPM_TOKEN`
    - Secret: вставить токен из npm
 
-#### 3. Готово!
+9. Обновить workflow: раскомментировать `NODE_AUTH_TOKEN` в шаге publish
+
+**Недостатки:**
+- ⚠️ Токен истекает через 7-90 дней
+- ⚠️ Нужно вручную обновлять в GitHub Secrets
+- ⚠️ Классические токены будут отключены 15.11.2025
+
+#### ✅ Готово!
 
 Теперь при каждом push тега библиотека будет автоматически опубликована.
 
