npm Classic Tokenの廃止とセッションベース認証の導入

npmのClassic Token（レガシーな認証トークン）が完全に廃止された。既存のClassic Tokenはすべて無効化され、使用・再作成・復元ができなくなった。 これに伴い、npm loginは2時間有効なセッションベースのトークンを発行するようになった（UIやCLIトークンリストには表示されない）。パブリッシュ操作時には2要素認証（2FA）が強制される。

また、Granular TokenをCLIから管理するための新しいツールが導入されたほか、新規パッケージ作成時に2FAがデフォルトで有効化されるようになった。 互換性のためレガシーAPIエンドポイントが一時的に復旧しているが（Yarn v1/v2などが使用）、これも数ヶ月以内に廃止される予定のため、モダンな認証方法への移行が推奨される。

出展：npm classic tokens revoked, session-based auth and CLI token management now available