package-lock.json到底在锁什么

最新推荐文章于 2025-01-21 09:46:03 发布

white_rose_1995

最新推荐文章于 2025-01-21 09:46:03 发布

阅读量849

点赞数 22

分类专栏： Node NPM 文章标签： node.js npm

本文链接：https://blog.csdn.net/2404_88048702/article/details/143067177

版权

Node 同时被 2 个专栏收录

1 篇文章

订阅专栏

NPM

1 篇文章

订阅专栏

package-lock.json到底在锁什么

package-lock.json

介绍

在 Node.js 项目中，包管理是至关重要的一环。package.json 文件广为人知，它记录了项目的依赖包及其版本信息。然而，还有一个同样重要但容易被忽视的文件 — package-lock.json。本文将详细介绍 package-lock.json，并阐述它与 package.json 的关系，以及它在 npm install 和 npm ci 命令中的具体使用方式和区别。

package.json

package.json 是 Node.js 项目的配置文件，包含了项目的元数据、脚本命令、依赖包清单等信息。它的主要作用是定义项目依赖，以便其他开发者可以使用相同的依赖环境来运行项目。

示例：

{
  "name": "example-project",
  "version": "1.0.0",
  "scripts": {
    "start": "node index.js"
  },
  "dependencies": {
    "express": "^4.17.1"
  }
}

package-lock.json

package-lock.json 是自动生成的文件，用于锁定安装的具体版本号及其依赖关系。与 package.json 不同，package-lock.json 记录了确切的版本号及其依赖结构，从而保证在不同机器上安装的依赖一致。

目的：package-lock.json 文件是在运行 npm install 时自动生成和更新的。它的设计目的是确保每当其他人安装该项目时，都可以安装到完全相同的依赖包。

内容：此文件包含整个依赖树的详细信息，包括每个已安装的包的具体版本、它们的依赖关系、包文件的完整性哈希值等。

一致性：package-lock.json 的主要目的是在不同的环境中提供一致性和可靠性。通过锁定每个包的版本，它确保了在不同机器和设置中环境的一致性。

以下是一个示例片段，实际文件一般较大，里面是一颗完整的依赖树，其中也包含了对node js具体版本的依赖。

{
  "name": "example-project",
  "lockfileVersion": 2,
  "requires": true,
  "packages": {
    "node_modules/express": {
      "version": "4.17.1",
      "resolved": "https://registry.npmjs.org/express/-/express-4.17.1.tgz",
      "integrity": "sha512-foobar"
    }
  },
  "dependencies": {
    "express": {
      "version": "4.17.1",
      "resolved": "https://registry.npmjs.org/express/-/express-4.17.1.tgz",
      "integrity": "sha512-foobar"
    }
  }
}

NPM 命令

提到package.json和 package-lock.json ，那么不得不提到如下相关的NPM命令：

NPM 命令	package.json	package.lock.json
npm init	生成	n/a
npm install	读写	读写
npm ci	只读	只读

npm init 是一个 Node.js 包管理器 npm 提供的命令，用于初始化一个新的 Node.js 项目或创建一个新的 package.json 文件。运行 npm init 时，npm 会通过一系列问答来生成 package.json 文件。

npm install

npm install 是常用命令，用于根据 package.json 和 package-lock.json 文件中的依赖信息来安装依赖包。

首次安装：如果项目中不存在 node_modules 目录或 package-lock.json 文件，npm install 会根据 package.json 安装所有依赖，并生成 package-lock.json。
更新安装：如果存在 package-lock.json 文件，npm install 会优先使用该文件中的信息来安装依赖。若 package.json 中的依赖有更新，则会更新 node_modules 和 package-lock.json。

除此之外，当你使用 npm install <package-name> 或 npm update <package-name> 添加或更新依赖项时，package.json和package-lock.json 将更新以反映更新的版本，比如：

# 使用 npm install <package> 安装某个具体的依赖包
npm install express
# 使用 npm update <package> 更新某个具体的依赖包
npm update http-server

npm ci

npm ci 是另一个安装依赖的命令，专门用于持续集成 (Continuous Integration) 环境下的快速安装，它以 package-lock.json 为标准进行安装。

高一致性：
- npm ci 仅使用 package-lock.json 进行安装，确保安装的依赖版本百分之百一致。
- 若 package-lock.json 与 package.json 不同步，npm ci 会报错并停止安装。
速度更快：npm ci 删除 node_modules 目录后直接重新安装所有依赖，相比 npm install 的更新逻辑更加高效。

最佳实践

提交 package-lock.json：始终将 package-lock.json 提交到你的版本控制系统。这确保了项目上的每个人或进行部署时，都具有相同的依赖项版本。
避免手动更改：不要手动编辑 package-lock.json，让 npm 来管理它。
在 CI/CD 流水线中使用 npm ci：对于持续集成/持续部署流水线，使用 npm ci 而不是 npm install。这个命令更快更可靠，因为它根据 package-lock.json 安装，而不会检查更新或修改文件。

结论

package.json 和 package-lock.json 是 Node.js 项目管理中不可或缺的一部分。package.json 提供了项目总体的依赖关系，而 package-lock.json 精确记录了依赖树的具体版本，确保了安装的一致性和可重复性。npm install 和 npm ci 各自有其特定的使用场景，理解它们的区别及其使用方式，将有助于更好地管理和维护 Node.js 项目。