文章目录
前言
提示:这里可以添加本文要记录的大概内容:
模块化开发在前端越来越流行,使用 node 和 npm 可以很方便的下载管理项目所需的依赖模块。package.json 用来描述项目及项目所依赖的模块信息。
那 package-lock.json
和 package.json
有啥关系和联系呢?
一、package.json
管理包
大家都知道,package.json 用来描述项目及项目所依赖的模块信息。
,就是帮我们管理项目中的依赖包的,让我们远离了依赖地狱。
通过 npm 管理,使用一些简单的命令,自动生成package.json
, 安装包依赖关系都由package.json
来管理,我们几乎不必考虑它们。
语义版本控制
首先我们先来了解下依赖包的版本号的定义
版本号由三部分组成:major.minor.patch
,主版本号.次版本号.修补版本号。
例如:1.2.3,主要版本1,次要版本2,补丁3。
补丁
中的更改表示不会破坏任何内容的错误修复。次要版本
的更改表示不会破坏任何内容的新功能。主要版本
的更改代表了一个破坏兼容性的大变化。 如果用户不适应主要版本更改,则内容将无法正常工作。
多人开发时依赖包安装的问题
看了上面版本号的指定后,我们可以知道,当我们使用了 ^
或者 ~
来控制依赖包版本号的时候 ,多人开发,就有可能存在大家安装的依赖包版本不一样的情况,就会存在项目运行的结果不一样。为了解决这个不同人电脑安装的所有依赖版本都是一致的,确保项目代码在安装所执行的运行结果都一样,这时 package-lock.json
就应运而生了。
二、package-lock.json
介绍
官方文档是这样解释的:package-lock.json
它会在 npm 更改 node_modules 目录树 或者 package.json 时自动生成的 ,它准确的描述了当前项目npm包的依赖树,并且在随后的安装中会根据 package-lock.json 来安装,保证是相同的一个依赖树,不考虑这个过程中是否有某个依赖有小版本的更新。
它的产生就是来对整个依赖树进行版本固定的(锁死)。
当我们在一个项目中npm install
时候,会自动生成一个package-lock.json
文件,和package.json
在同一级目录下。package-lock.json
记录了项目的一些信息和所依赖的模块。这样在每次安装都会出现相同的结果. 不管你在什么机器上面或什么时候安装。
当我们下次再npm install
时候,npm 发现如果项目中有 package-lock.json
文件,会根据 package-lock.json
里的内容来处理和安装依赖而不再根据 package.json
。
注意,使用
cnpm install
时候,并不会生成package-lock.json
文件,也不会根据package-lock.json
来安装依赖包,还是会使用package.json
来安装。
package-lock.json 生成逻辑
简单描述一下 package-lock.json
生成的逻辑。假设我们现在有三个 package,在项目 lock-test中,安装依赖A,A项目面有B,B项目面有C
package-lock.json
, 会生成类似下面铺平的结构
// package-lock.json { "name": "lock-test", "version": "1.0.0", "dependencies": { "A": { "version": "1.0.0" }, "B": { "version": "1.0.0" }, "C": { "version": "1.0.0" } } }
package-lock.json 可能被意外更改的原因
-
package.json 文件修改了
-
挪动了包的位置
将部分包的位置从 dependencies 移动到 devDependencies 这种操作,虽然包未变,但是也会影响 package-lock.json
,会将部分包的 dev 字段设置为 true
3.registry 的影响
经过实际使用发现,如果我们 node_modules 文件夹下的包中下载时,就算版本一样,安装源 registry
不同,执行 npm i 时也会修改 package-lock.json
可能还存在其他的原因,但是 package-lock.json
是不会无缘无故被更改的,一定是因为 package.json 或者 node_modules 被更改了,因为 正如上面提到的 package-lock.json 为了能够精准的反映出我们 node_modules 的结构。
总结
一般情况下 npm install
是可以的,他能保证根据 package-lock.json
还原出开发时的 node_modules
。
但是为了防止出现刚刚提到的意外情况,除非涉及到对包的调整,其他情况下建议使用 npm ci
来安装依赖,会避免异常的修改 package-lock.json。