package-lock.json 的作用

最新推荐文章于 2023-06-19 17:57:33 发布
最新推荐文章于 2023-06-19 17:57:33 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: JS框架应用 文章标签: javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ddwddw4/article/details/112849990
版权

今天遇到一个很坑的问题,本地看怎么都没问题,线上之前也没问题。但就把master的代码重新发布了一遍,线上页面就挂掉了。找了半天才发现原因是react有个小版本更新了,导致了页面报错。具体原因是一个全局接口的loading文件是这样写的

const Loading = {
  show: () => {
    // console.log('show');
    const content = React.createElement('div', null, LoadSpin({ loading: true }));
    ReactDOM.render(
      content,
      document.querySelector('#root'),
    );
  },
  hide: () => {
    // console.log('hide');
    ReactDOM.render(
      LoadSpin({ loading: false }),
      document.querySelector('#root'),
    );
  },
};

将loading挂载到了root节点下面,之前并没有报错,但是在react这个小版本更新过后,提示就是root也会挂载别的组件,卸载的时候出了问题。解决办法也简单,那就是在document文件里面增加一个Dom去挂载这个loading节点。

  // document
<body>
    <div id="root"></div>
    <div id="root-loading"></div>
  </body>

//loading.js

const Loading = {
  show: () => {
    // console.log('show');
    const content = React.createElement('div', null, LoadSpin({ loading: true }));
    ReactDOM.render(
      content,
      document.querySelector('#root-loading'),
    );
  },
  hide: () => {
    // console.log('hide');
    ReactDOM.render(
      LoadSpin({ loading: false }),
      document.querySelector('#root-loading'),
    );
  },
};

那问题来了,为什么本地跑没事,线上却有问题,什么导致了本地和线上环境的不一致,下面就要说这个package-lock.json了。package-lock.json作用就是固定版本使用的。(需注意下自己的npm版本,下文有介绍)

要知道在package.json里面,我们的依赖如antd": "^4.4.0", ^这种形式,是只能固定大版本的,他是会向后升级小版本的,如果小版本升级了,就导致我们安装时的依赖发生了改变。为了防止这样问题的出现,所以有了package-lock.json这个文件去锁定到某个固定的版本。这个文件的存在能保障我们安装版本的一致性。

坑就坑在了,我本地的package-lock因为在.gitignore 里面被忽略了,所以线上被没有这个lock去锁定文件,导致了线上版本是更新后的一个小版本,而我本地却是锁定的。所以本地没有任何问题,但线上却一直出错。

然后针对这个问题特意查了下资料,如下:

https://www.zhihu.com/question/264560841

作者:贺师俊
链接:https://www.zhihu.com/question/264560841/answer/286682428
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
 

先给出回答:

package-lock.json 不应写进 .gitignore。这点无论你是否使用 lock 都是一样的。

具体来说:

如果你使用 lock 机制,则应该将 package-lock.json 提交到 repo 中。比如 Vue 采取了该策略。

如果你不使用 lock 机制,则应该加入 .npmrc 文件,内容为 package-lock=false ,并提交到 repo 中。比如 ESLint 采取了该策略。

例外是,如果你使用 yarn 并且不打算使用 npm,则可以把 package-lock.json 列入 .gitignore(比如 Babel);反之如果你使用 npm 并且不打算使用 yarn,则可以把 yarn.lock 列入 .gitignore (比如 TypeScript)。

如果你不按照上述方式做,请确定你清楚自己在干什么。比如 jQuery 为什么把 package-lock.json 写入 .gitignore 可以看其 commit message:Build: Remove package-lock.json, add it to .gitignore · jquery/jquery@7037fac 。简单说就是 optional 依赖包会导致不同平台上的 package-lock.json 发生变更。jQuery 的人认为这有问题,所以暂时性 ignore 了它。先不管是不是有更好的方式或者其他 workaround,最新的 npm 5.6.0 其实已经解决了这个问题。(想混个 jQuery contributor 的同学可以赶紧去提交 PR 了,成功之后可以给我发个红包当谢礼。)

有一些不使用 lock 机制的库,已经使用了 .npmrc ,但也把 package-lock.json 列入了 .gitignore,这是没有必要的。

至于到底要不要 lock,是另一个话题了。尽管题主也许想问的实际上就是要不要 lock,不过我还是按照题面作答。如果想讨论要不要 lock,建议移步已有的 透过 js-beautify@1.7.0 的 Bug 来看,npm 默认的 lock 机制是否重要? 问题。

作者:知乎用户
链接:https://www.zhihu.com/question/264560841/answer/282759714
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
 

npm 5.x 发布以来到现在的5.6.0 lock的作用变更过好多次,现在网上很多小白文都是停留在以前的文档翻译。

从npm3.x更新到了npm5,但是发现执行 `npm i ` 时的现象跟网络上的科普文不太一致。

有提到不管怎么修改package.json文件,重复执行npm i,npm都会根据lock文件描述的版本信息进行下载。

也有提到重复npm i时,npm会不顾lock的信息,根据package.json中的包Semantic versioning 版本信息下载更新模块(lock貌似没啥用了)。

**查阅资料得知,自npm 5.0版本发布以来,npm i的规则发生了三次变化。**

1、npm 5.0.x 版本,不管package.json怎么变,npm i 时都会根据lock文件下载

package-lock.json file not updated after package.json file is changed · Issue #16866 · npm/npm

这个 issue 控诉了这个问题,明明手动改了package.json,为啥不给我升级包!然后就导致了5.1.0的问题...

2、5.1.0版本后 npm install 会无视lock文件 去下载最新的npm

然后有人提了这个issue why is package-lock being ignored? · Issue #17979 · npm/npm

控诉这个问题,最后演变成5.4.2版本后的规则。

3、5.4.2版本后 why is package-lock being ignored? · Issue #17979 · npm/npm

大致意思是,如果改了package.json,且package.json和lock文件不兼容(注意是兼容,比如package里"antd": "^4.6.3", ^表示固定大版本吗,那么lock里面可以是"antd": "4.6.4"的),那么执行`npm i`时npm会根据package中的版本号以及语义含义去下载最新的包,并更新至lock。

如果两者是同一状态,那么执行`npm i `都会根据lock下载,不会理会package实际包的版本是否有新

2021.8.24更新

发现 cnpm 好像不会默认按照package-lock.json去安装,而npm是会的。难道是依赖package-lock.json去安装这一步也是需要各个镜像源自己单独设置的吗?

目前zanpm也会忽略package-lock.json 按package.json去安装。

iybnpm 目前则会按照package-lock.json去安装。

2021.8.26更新

上述原因找到了,如果是 类似这样 

在mac 根目录的.bash_profile添加的配置

alias iybnpm="npm --registry=https://npm.baoyun.ltd \ --cache=$HOME/.npm/.cache/iybnpm \ --disturl=https://npm.baoyun.ltd/dist \ --userconfig=$HOME/.iybnpmrc"

那么只是设置了个别名,本质走的还是npm那一套。所以按照npm的机制,iybnpm 的package-lock.json是生效的。

如果是下面这样安装

npm install -g zanpm --registry=http://npm.zhonganonline.com  

那么执行zanpm时候就会走zanpm node_modules包里封装的那一套逻辑,有没有按本地的package-lock.json去安装就看他自己里面的逻辑了。目前来看cnpm和zanpm都没有去实现按package-lock.json去安装这一套。

如果以上两个命令都安装了,按测试结果来看,是优先走的第一种方案,可以通过zanpm -v 和

npm -v来看下 当前指向的到底是哪个版本。

哇偶哇偶Z
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
package.json中的版本和package-lock.json作用
01-07
而且当你的 npm 版本升级到 5.X.X 版本以上的时候,对应目录下还是自动生成一个 package-lock.json 文件,这个文件的作用又是什么呢。博主根据网上资料简单说明一下。 1.package.json 版本 dependencies: { react:...
package-lock.json作用
ii窝窝头的博客
07-03 1万+
npm 5.0版本之后,npm install后都会有一个package-lock.json,作用是什么? 1、锁定安装时的包的版本号,需要上传到git,保证大家的依赖包一致。 2、package-lock.json是在 `npm install`时候生成一份文件,用来记录当前状态下实际安装的各个npm package的具体来源和版本号。 3、它有什么用呢?因为npm是一个用于管理package之间依赖关系的管理器,它允许开发者在pacakge.json中间标出自己项目对npm各库包的依赖。你可以选.
package-lock.json
sayyy的专栏
05-07 1080
前言 略 package-lock.json作用 package-lock.json作用,参考这里。 package-lock.json是否该提交到代码仓库? 建议提交,但,不提交影响也不大。 只要有package.json文件,通过npm install可以还原出package-lock.json。 参考 https://www.cnblogs.com/cangqinglang/p/8336754.html ...
【面试】前端面试之package.json与package.log.json的关系,分别有哪些内容?
程序边界
10-20 73
文章目录package.json常见配置项 package.json:主要用来定义项目中需要依赖的包 package-lock.json:在 npm install时候生成一份文件,用以记录当前状态下实际安装的各个npm package的具体来源和版本号。 ‘^’ :放在版本号之前,表示向后兼容依赖,说白了就是在大版本号不变的情况下,下载最新版的包 因为package-lock.json文件锁定版本号,所以当执行npm install的时候,node不会自动更新package.json文件中的模块,必须
fix-package-lock:通过重新生成来修复package-lock.json
02-03
通过重新生成来修复package-lock.json 入门 先决条件 使用npm 5在Node v9上进行了测试。 正在安装 全局安装fix-package-lock将安装fix-package-lock命令: # Using npm npm install -g fix-package-lock # Using ...
将yarn.lock转换为package-lock.json,反之亦然-JavaScript开发
05-26
install npm install -g synp命令行用法yarn.lock => package-lock.json yarn#确保node_modules文件夹目录并已更新synp --source-file /path/to/yarn.lock#将创建/ path / to / package-lock.json package-lock....
node-tgz-downloader:根据package-lock.json文件下载所有的node_modules
04-29
本地package-lock.json文件 网址到package-lock.json 包装名称 本地package.json文件 网址到package.json 搜索关键词 安装 npm install node-tgz-downloader -g 用法 来自代码: const downloader = require ( '...
详解package.jsonpackage-lock.json
热门推荐
苏纯的博客
10-24 1万+
package.jsonpackage-lock.json
#Vue2篇:package-lock.json解读
...
09-09 3366
package-lock.json解读
package.jsonpackage-lock.json详解
qq_45489665的博客
10-12 1463
npm使用一个名为package.json的文件,用户可以通过npm install --save命令把项目里所有的依赖项保存在这个文件里。npm遵循语义版本控制。
关于package.jsonpackage-lock.json
qq_17335549的博客
05-12 7351
每日鸡汤,每个你想要学习的念头都是未来的你向自己求救 一直在纠结,每次pull 完代码之后重新install , package-lock.json就改变了,那么我改完代码之后需要把这个package-lock.json提交么? 让我们先来来看看package.json 每个包前面的^ 代表 大版本的依赖包^1.2.3中的1 ~ 代表次要版本号 ~1.2.3中的2 如果什么符号都不加则是指定版本,这也就是说的锁定版本,好处是避免包更新带来的bug 指定安装版本npm install xx@1..
package-lock.json文件详解
热爱前端的大三在校生
05-17 4373
在执行npm install下载包的时候,我们会发现目录中会出现package.jsonpackage-lock.json文件,刚好最近我也在研究package的一些东西,对lock文件里的一些字段有点生疏了,写篇文章记录一下lock文件的一些知识。
【Vue】package-lock.json作用
Lanna_w的博客
10-22 4053
package-lock.json有什么作用呢?简单理解就是锁定dependencies的版本号。 一般来说前端的项目都有一个package.json文件管理依赖的版本号,在package.json文件里我们可以看到依赖的版本号前面一半有^和~这些符号。 ^:锁定大版本号,比如是^6.2.2,会匹配所有6.x.x的版本,更新的时候会下载最新的版本号 ~:锁定前面两个版本号,比如是^6.2.2,会匹配所有6.2.x的版本,更新的时候会下载最新的版本号 *:安装最新的版本号。 不同的下载时间、npm下载源不一样
npm install生成的package-lock.json文件有什么作用
weixin_45847735的博客
12-21 4183
package.json里面定义的是版本范围(比如^1.0.0),具体跑npm install的时候安的什么版本,要解析后才能决定,这里面定义的依赖关系树,可以称之为逻辑树(logical tree)。产生背景:在拷贝项目时不需要拷贝node_modules文件夹,如果拷贝的话会很慢,那么如何解决安装的依赖与原项目依赖及版本保持一致呢?①package.json 项目描述文件,保存在项目的根目录下面,记录了当前的项目信息,用npm init -y命令生成。②拷贝项目后,直接执行npm install会自动.
我是否提交由 npm 5 创建的 package-lock.json 文件?
kalman2019的博客
01-13 898
npm 5 was released today,其中一项新功能包括通过创建 package-lock.json 文件进行确定性安装。这个文件应该保存在源代码管理中吗?我假设它类似于 yarn.lock 和 composer.lock,两者都应该保存在源代码管理中。
package.jsonpackage-lock.json 解析
薛定谔的猫-前端领域
05-27 5097
前端每个项目的根目录上有一个 package.json 文件,定义了当前项目所需要的各种模块,以及项目的配置信息(比如名称、版本、许可证等)。当运行 npm install命令时,会根据文件中的配置自动下载所需的模块配置项目所需的运行和开发环境。
package.jsonpackage-lock.json依赖包文件
weixin_42844704的博客
06-19 2814
如果 package.json 的 semver-range version 和 package-lock.json 中版本兼容(package-lock.json 版本在 package.json 指定的版本范围内),即使此时 package.json 中有新的版本,执行 npm install 也还是会根据 package-lock.json 下载。指定版本:比如 1.2.2 ,遵循“大版本.次要版本.小版本”的格式规定,安装时只安装指定版本。latest:安装最新版本。
gitignore配置package-lock.json
最新发布
08-11
在配置.gitignore文件中忽略package-lock.json时,可以选择两种做法。首先,你可以将package-lock.json一直包含在仓库中,不将其忽略。这样做的好处是,其他开发人员在clone项目后,可以确保他们使用的是与你相同的依赖版本。但是在执行npm publish命令时,package-lock.json应该被忽略,不应该被发布出去。另一种做法是,在.gitignore文件中添加对package-lock.json的忽略规则。这样,package-lock.json文件将不会被Git跟踪和提交到仓库中。如果你选择这种做法,请确保在运行npm install之前删除package-lock.json文件,以便安装所有最新版本的依赖并重新生成package-lock.json。此外,你还可以在项目的根目录下添加.gitattributes文件,并在其中写入需要忽略的文件名,包括package-lock.json。使用merge=ours来指定合并冲突时选择保留当前版本。这样,即使其他开发人员在合并代码时修改了package-lock.json,也不会影响你的本地版本。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [详解package.jsonpackage-lock.json](https://blog.csdn.net/weixin_38664300/article/details/127495039)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *3* [git merge时忽略某文件合并来避免冲突(以忽略package-lock.json文件冲突为例)](https://blog.csdn.net/m0_50181189/article/details/124912806)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值