package-lock.json

已于 2024-03-22 00:43:37 修改
阅读量1.1w 收藏 10
点赞数 1
分类专栏: 前端工具 node 文章标签: npm node.js package-lock
于 2022-05-15 21:41:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/letterTiger/article/details/124788775
版权

package.json确定依赖的范围,package-lock.json将这个范围精确到具体版本。主要是为了解决在各个环境中得到确定的node_modules,如果只依赖package.json因为该文件声明的是直接依赖的范围,它无法将直接依赖固定在某个特定版本,也无法声明依赖的依赖。所以需要引入package-lock.json文件来达到我们固定node_modules的目的。

package.json确定当前项目直接依赖的包(例如:dependencies和devDependencies)版本的范围(例如:^1.0.0表示的是大于等于1.0.0小于2.0.0),所以只依赖package.json管理包会有两个缺点:

  1. 同一份package.json安装的依赖版本可能不同,如果依赖包有小版本更新并且引入了bug会导致重新装包的项目报错。
  2. package.json中声明的只是直接依赖,依赖的依赖无法通过package.json控制。例如:项目依赖包A,包A依赖包B,包A的版本可以通过package.json中固定版本号的形式固定下来(A: 1.0.0),但是A的依赖B的版本号可能是^2.0.0,这样包B的版本还是无法固定。

基于以上两个package.json的缺点需要引入新的方案:package-lock.json
package-lock.json文件内容是node_modules文件夹中包结构的快照,npm install 时会根据这份快照生成一模一样的node_modules,所以确保了一份package-lock.json在任何机器,任何时间生成的node_modules都一样,避免了只依赖package.json产生的两个问题。

package-lock.json和package.json配合生成node_modules的步骤如下:

npm7之后的版本生成的package-lock是可信的。

If you have a package.json and you run npm i we generate a package-lock.json from it.

If you run npm i against that package.json and package-lock.json, the latter will never be updated, even if the package.json would be happy with newer versions.

If you manually edit your package.json to have different ranges and run npm i and those ranges aren’t compatible with your package-lock.json then the latter will be updated with version that are compatible with your package.json. Further runs of npm i will be as with 2 above.

如果有一个package.json并且执行了npm i 我们将会生成package-lock.json文件。

如果针对package.json和package-lock.json执行npm i,package-lock.json永远不会更新,即使package.json中依赖的包有更新的版本。

如果你手动编辑了package.json中依赖包版本到不同版本范围并且执行了npm i,并且这个版本范围和package-lock中的不兼容,之后会更新package-lock.json中的版本为兼容package.json内的版本。之后npm i的运行和上面两条的描述一致。

package-lock.json修改的原因

  1. 手动编辑package.json中依赖包后重新install。
  2. 将项目依赖改为开发依赖,或者相反后重新install。
  3. npm registry 的修改后重新npm install,会引起package-lock.json文件中resolved字段的修改,即使包版本一致。
  4. 新增、删除和更新包后重新install。

lock文件生成逻辑

在包版本没有冲突的情况下会将依赖的依赖平铺,如果有冲突则会放到依赖的依赖内部。

例如:a 依赖 b,b 依赖 c,在node_modules中的结构是

|- a@1.0.0
|- b@1.0.0
|- c

如果项目依赖了b@2.0.0:

|- a@1.0.0
|—|-b@1.0.0
|- b@2.0.0
|- c

如果更新依赖,则依赖的依赖同样会更新。例如a发布了版本@1.0.1,b也发布了@1.0.1。npm install a@1.0.1则会变成

|- a@1.0.1
|—|-b@1.0.1
|- b@2.0.0
|- c

npm ci 不会修改package-lock.json的装包命令

In short, the main differences between using npm install and npm ci are:

  • The project must have an existing package-lock.json or npm-shrinkwrap.json.
  • If dependencies in the package lock do not match those in package.json, npm ci will exit with an error, instead of updating the package lock.
  • npm ci can only install entire projects at a time: individual dependencies cannot be added with this command.
  • If a node_modules is already present, it will be automatically removed before npm ci begins its install.
  • It will never write to package.json or any of the package-locks: installs are essentially frozen.
  • 项目必须存在package-lock.json文件或者npm-shrinkwrap.json文件
  • 如果package lock中的依赖和package.json中的依赖不匹配,npm ci将会报错退出,而不是更新package lock文件
  • npm ci 一次会安装整个项目:这个命令不能添加单独依赖
  • 如果node_modules文件夹已经存在,在npm ci 开始安装前它将会被自动移除
  • 该命令绝不会写package.json文件和如何package-locks文件:安装本质上是冻结的。

问题和解决方案

package-lock.json冲突怎么办?

从稳定的分支checkout package-lock.json,再重新npm install生成一份新的package-lock.json。

想回退package-lock.json中的依赖的依赖版本怎么办?

在项目中直接install依赖的包对应的版本生成对应的lock文件,在将其从package.json中去除,即可将依赖的依赖版本进行回退。当然回退的版本需要符合版本约束。

参考

我的package-lock.json被谁改了?
package-lock.json
About semantic versioning
npm-ci
package.json详解
npm 依赖管理中被忽略的那些细节

葡萄糖o_o
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
package.json中的版本和package-lock.json的作用
01-07
引言 我们在搭建项目的时候,通过 npm 安装的依赖模块时,package.json文件中依赖的版本号前面会带符号 ^,有时候我们看别人的项目时也可能会看版本前带符号 ~ ,或者什么也不带,其中会有什么区别呢?而且当你的 npm 版本升级到 5.X.X 版本以上的时候,对应目录下还是自动生成一个 package-lock.json 文件,这个文件的作用又是什么呢。博主根据网上资料简单说明一下。 1.package.json 版本 dependencies: { react: ^16.8.0 react: ~16.8.0, react: 16.
什么是package-lock.json(官方文档解释)
热门推荐
ssfz123的博客
03-20 2万+
描述package-lock.json会自动为npm修改node_modules树或任何操作而生成package.json。它描述了生成的确切树,以便后续安装能够生成相同的树,而不管中间依赖性更新如何。这个文件旨在被提交到源代码库,并提供各种用途:描述依赖关系树的单一表示,以确保队友,部署和持续集成确保安装完全相同的依赖关系。为用户提供一个设施,使其能够“前往”以前的状态,node_modules...
package.jsonpackage-lock.json分析
最新发布
m0_69497411的博客
03-23 579
在分析之前一定要 了解 node环境下npm这个包管理工具, 因为在使用npm进行本地安装就会生成 pacage.json 这个文件(内部记录了我们安装的包的版本信息)。这里又引入一个本地安装的概念,
package-lock.json那些事
zhichaosong的博客
08-05 947
在多人开发时经常冲突,该如何解决才能保证线上质量?如何定义才能符合我们的预期?本文通过实验来探究包版本管理最佳实践。
关于package.jsonpackage-lock.json
qq_17335549的博客
05-12 7169
每日鸡汤,每个你想要学习的念头都是未来的你向自己求救 一直在纠结,每次pull 完代码之后重新install , package-lock.json就改变了,那么我改完代码之后需要把这个package-lock.json提交么? 让我们先来来看看package.json 每个包前面的^ 代表 大版本的依赖包^1.2.3中的1 ~ 代表次要版本号 ~1.2.3中的2 如果什么符号都不加则是指定版本,这也就是说的锁定版本,好处是避免包更新带来的bug 指定安装版本npm install xx@1..
package.jsonpackage-lock.json介绍
drawlessonsfrom的博客
11-29 4893
一、package.json 1、简介 package.json称之为包描述文件或者包说明文件,在项目中一般会创建package.json文件。 2、如何生成package.json文件 进入到相关项目目录的命令行终端,然后在终端输入: npm init 然后进行相关的配置即可。 如果想要快速生成package.json文件,可以在进入到相关的项目目录的命令行终端后输入: npm init -y 3、用途 描述相关的项目的项目名称,项目作者,所依赖的第三方包。 在项目中,最有用的是那个depende
详解package.jsonpackage-lock.json
苏纯的博客
10-24 1万+
package.jsonpackage-lock.json
package-lock.json文件详解
热爱前端的大三在校生
05-17 3813
在执行npm install下载包的时候,我们会发现目录中会出现package.jsonpackage-lock.json文件,刚好最近我也在研究package的一些东西,对lock文件里的一些字段有点生疏了,写篇文章记录一下lock文件的一些知识。
package.jsonpackage-lock.json
weixin_45626517的博客
02-09 2万+
package.json 记录当前项目所依赖模块的版本信息,更新模块时锁定模块的大版本号(版本号的第一位),不能锁定后面的小版本, package-lock.json package-lock.json 是在 `npm install`时候生成一份文件。记录了node_modules目录下所有模块(包)的名称、版本号、下载地址、及这个模块又依赖了哪些依赖。 两者区别: npm5以前 npm5以前,没有package-lock.jso...
深入理解 package.json 文件与 package-lock.json 文件
山重水复疑无路,柳暗花明又一村。
03-01 1927
文件一般都在每个项目的根目录下面,定义了这个项目所需要的各种模块,以及项目的配置信息,包括名称、版本、许可证、依赖模块等元数据。格式是严格的JSON格式。当你执行 npm install 的时候,node 会先从 package.json 文件中读取所有 dependencies 信息,然后根据 dependencies 中的信息与 node_modules 中的模块进行对比,没有的直接下载,已有的检查更新。
fix-package-lock:通过重新生成来修复package-lock.json
02-03
通过重新生成来修复package-lock.json 入门 先决条件 使用npm 5在Node v9上进行了测试。 正在安装 全局安装fix-package-lock将安装fix-package-lock命令: # Using npm npm install -g fix-package-lock # Using ...
将yarn.lock转换为package-lock.json,反之亦然-JavaScript开发
05-26
install npm install -g synp命令行用法yarn.lock => package-lock.json yarn#确保node_modules文件夹目录并已更新synp --source-file /path/to/yarn.lock#将创建/ path / to / package-lock.json package-lock....
node-tgz-downloader:根据package-lock.json文件下载所有的node_modules
04-29
本地package-lock.json文件 网址到package-lock.json 包装名称 本地package.json文件 网址到package.json 搜索关键词 安装 npm install node-tgz-downloader -g 用法 来自代码: const downloader = require ( '...
babel6和babel7中关于polyfill和preset-env和babel-plugin-transform-runtime等总结
letterTiger的博客
09-11 3642
记录自己零散的收获,随笔。 一些基础 babel的作用是转换新特性为大部分浏览器能支持的代码。 babel转码又分为两部分,一个是语法转换,一个是新API转换。 而对于API的转换又分为两部分,一个是可私有的API,一个全局对象的实例(Array.prototype.includes之类的方法)和Object.assign之类的静态方法。 我们又知道babel代码转换又依赖plugin,没有plu...
ESLint共享配置的两种方式eslint-plugin和eslint-config
letterTiger的博客
02-17 3316
使用ESLint很久了,也看了ESLint官方文档很多遍,但对于ESLint配置的规则还是不胜清楚,例如: { "extends": ["plugin:prettier/recommended"] } 上面extends的值为什么要"plugin:"开头?这里的prettier插件需要显示安装吗?像这样plugins: ["prettier"]。 { "plugins": ["prettier"], "rules": { "prettier/prettier": "error" }
webpack联邦模块之webpack运行时
letterTiger的博客
04-02 1972
webpack是如何打包ES模块的?webpack是如何构建自身的模块运行时的? __webpack_require__ 这是整个webpack运行时的核心。 该函数被用于根据模块Id从变量__webpack_module_cache__获取模块对应导出: 有,直接返回 没有,去__webpack_modules__上找到模块id对应的模块,获取对应模块导出。 所以可以看出来__webpack_require__方法不用管模块具体是怎么来的。该方法调用的时候,调用方需要确保该模块id对应的模块已经存在

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值