文章讲述了在使用npm安装包时遇到的包完整性问题,由于作者在npm源上删除并重新发布了包,导致package-lock.json中的hash值与新的包不匹配,从而无法正常安装。提供了三种解决方案,包括删除package-lock.json重新安装,修改package-lock.json或卸载后再安装特定包,并强调了package-lock.json的重要性。
问题描述
在接手一个项目npm install 时遇到了如下问题
导致npm 包不能正常安装
问题分析
在进行问题分析前,先说一点基础知识,在npm资源管理网站,当作者每一次发布npm包或者更新版本时,npm资源管理网站都会为这个包或者新版本自动生成一个hash值,用于确保这个包的完整性,正常来说npm资源管理是不允许删除和更改npm包的,用户只能追加版本,但是npm并没有限制死,即一个包在发布24小时内作者是可以删除重新发布的,一旦作者进行了这样的操作,即便这两次包的版本号一样,但是这两次的hash值是不一样的。
另外,在我们为项目npm install 安装项目包时,我们会发现在项目的根目录还会自动生成一个package-lock.json的文件,这个文件就是用来锁定项目的依赖包版本。即我们在自己的package.json中可以定义我们要安装的包比如vue但是vue里又依赖了哪些包,他们的版本号是多少我们是无法确定的,因此对于一个项目开发来说,为了避免一个团队不同人之间开发依赖包不一致造成的开发问题,通常都需要对项目的依赖包版本锁死,这样不同人在npm install的时候不仅本项目的npm包一致,同样项目包所涉及的依赖包也是一致的。这就是package-lock.json的作用(温馨提示:千万不要在gitignore中把package-lock.json屏蔽喔,想必你已经知道为啥了😊)
通过上述了解,在根据具体情况分析发现是我这个包的npm源遭到更改或破坏了,导致前后两次的这个包的integrity(完整性约束)的hash值不一样。从而导致无法正常安装。
通俗的将就是一个npm包比如lodash v4.17.21这个版本刚发布不久,就被一个开发者把这个包安装到自己的项目中并push到远程仓库,但是lodash的作者可能觉得这个包有缺陷,然后就把这个版本删除了又重新发了一个 v4.17.21版本,尽管这两版本一样,但是他们的integrity的hash值已经发生改变了。所以当后来人在重新进行npm install进行安装时,由于package-lock.json记录了lodash v4.17.21旧的integrity,这就造成从npm资源库找到的这个lodash v4.17.21版本的integrity值和package-lock.json里记录的不一致,因此就无法正常安装。
解决方案
一、删除package-lock.json这个文件夹,重新安装
但是这种方法不推荐,如果是一个刚搭架没多久的项目可能没什么关系,但是一旦这个项目是一个已经好几年的老项目,你在删除package-lock.json后,重新安装时,就会造成一些包的依赖项和原来不一致,此时你很难保证这些依赖项有没有进行过重大更新,一旦出现和以前版本不兼容的情况,就会导致整个项目无法正常启动。
二、根据npm报错的sha…值到package-lock.json中ctrl + f 找到是哪个具体包的integrity,然后把这个包的整体信息删除。重新npm install 这样整个安装过程就只会更改有问题的这个包,并且package-lock.json会重新生成这个包的依赖项。
三、和二类似,就是如果能从报错信息中明确看到是哪个具体的包,可以直接先执行 npm uninstall '包名' 把这个包卸载了,然后在执行npm install 最后不要忘记把这个已经卸载的包也重新安装回来,此时package-lock.json也会自动更新这个包的信息生产新的integrity值
扫一扫
1347
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
