包管理工具 —— 更推荐的 pnpm

已于 2022-03-22 16:33:28 修改
阅读量1.1w 收藏 17
点赞数 8
分类专栏: 包管理工具 文章标签: 前端 npm react.js
于 2022-03-18 18:44:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41257129/article/details/123582047
版权

前言

一般我们接触的包管理工具有 npm、yarn 以及pnpm,小柒在工作中基本上新项目都采用了pnpm 来作为包管理工具,那我们就来聊一聊换成 pnpm 的好处。

npm

npm 从 v1 -v3- v5 版本的迭代都有重大的改变,一起来下看吧~。

npm v1 嵌套

npm 在 v3 之前 node_modules 里的包都是嵌套的。

node_modules
├── A@1.0.0
│   └── node_modules
│       └── B@1.0.0
├── C@1.0.0
│   └── node_modules
│       └── B@2.0.0
└── D@1.0.0
    └── node_modules
        └── B@1.0.0

随着项目越来越大,依赖包越来越多,这样也会带来一系列问题。

  • 嵌套的层级加深,文件路径过长。
  • 大量的包被重复安装。比如上面例子中的 B@1.0.0 就会被装两份。

npm v3 扁平

在 v3 版本,实现了扁平化安装依赖的模式, node_modules 中的包成打平状态。

node_modules
├── A@1.0.0
├── B@1.0.0
└── C@1.0.0
    └── node_modules
        └── B@2.0.0
├── D@1.0.0

npm v3 的变化,虽然避免了嵌套过深以及重复安装的问题(注意多个版本的包只能有一个版本被提升),但是其存在很多不确定性(即生成的 node_modules 结构不确定)。

举个🌰:假设 A@1.0.0 依赖 C@1.0.1, B@1.0.0 依赖 C@1.0.2,那么生成的 node_modules 结构什么样的呢?

node_modules
├── A@1.0.0
├── B@1.0.0
    └── node_modules
        └── C@1.0.2
├── C@1.0.1
// 还是下面的情况呢
node_modules
├── A@1.0.0
    └── node_modules
        └── C@1.0.1
├── B@1.0.0
├── C@1.0.2

其实是都有可能,这就依赖于 A 和 B 在 package.json中的位置。

npm v5 扁平 + lock

为了解决 node_modules 结构的不确定性,于是在 v5 版本中默认会生成 package-lock.json文件 。我们来看看只安装 swiper 这个库对应的 package-lock.json 文件。

// package.json
{
  "name": "test",
  "version": "1.0.0",
  "description": "",
  "main": "index.js",
  "license": "ISC",
  "dependencies": {
    "swiper": "^8.0.7"
  }
}
// package-lock.json
{
  "name": "test",
  "version": "1.0.0",
  "lockfileVersion": 1,
  "requires": true,
  "dependencies": {
    "dom7": {
      "version": "4.0.4",
      "resolved": "https://registry.npmjs.org/dom7/-/dom7-4.0.4.tgz",
      "integrity": "sha512-DSSgBzQ4rJWQp1u6o+3FVwMNnT5bzQbMb+o31TjYYeRi05uAcpF8koxdfzeoe5ElzPmua7W7N28YJhF7iEKqIw==",
      "requires": {
        "ssr-window": "^4.0.0"
      }
    },
    "ssr-window": {
      "version": "4.0.2",
      "resolved": "https://registry.npmjs.org/ssr-window/-/ssr-window-4.0.2.tgz",
      "integrity": "sha512-ISv/Ch+ig7SOtw7G2+qkwfVASzazUnvlDTwypdLoPoySv+6MqlOV10VwPSE6EWkGjhW50lUmghPmpYZXMu/+AQ=="
    },
    "swiper": {
      "version": "8.0.7",
      "resolved": "https://registry.npmjs.org/swiper/-/swiper-8.0.7.tgz",
      "integrity": "sha512-GHjDfxSZdupfU7LrSVOpaNaT7R1D2zxopPGBFz1UOXOtsYvVJLg0k6NvkTAD7qn0ASl5pTti82qoYwvYvIkg4g==",
      "requires": {
        "dom7": "^4.0.4",
        "ssr-window": "^4.0.2"
      }
    }
  }
}

package-lock.json 文件可以帮我们记录安装的每一个包版本和其所依赖的其他包版本,这样在下一次安装的时候就可以通过这个文件来安装。由 package-lock.json 文件和 package.json 文件能确保始终得到一致的 node_modules 目录结构,这样就保证了安装依赖的确定性。

yarn

yarn 1

yarn1 的出现是为了解决 npm v3 的问题,那时候还没有 npm v5。yarn install 生成的 node_modules 目录结构与 npm v5 相同,同时默认会生成一个 yarn.lock文件。只要 yarn 的版本相同,yarn 安装依赖的确定性就能保证

同前面的例子一样,我们使用 yarn 安装 swiper 生成的 yarn.lock 文件如下:

# THIS IS AN AUTOGENERATED FILE. DO NOT EDIT THIS FILE DIRECTLY.
# yarn lockfile v1
​
​
dom7@^4.0.4:
  version "4.0.4"
  resolved "https://registry.npmjs.org/dom7/-/dom7-4.0.4.tgz#8b68c5d8e5e2ed0fddb1cb93e433bc9060c8f3fb"
  integrity sha512-DSSgBzQ4rJWQp1u6o+3FVwMNnT5bzQbMb+o31TjYYeRi05uAcpF8koxdfzeoe5ElzPmua7W7N28YJhF7iEKqIw==
  dependencies:
    ssr-window "^4.0.0"
​
ssr-window@^4.0.0, ssr-window@^4.0.2:
  version "4.0.2"
  resolved "https://registry.npmjs.org/ssr-window/-/ssr-window-4.0.2.tgz#dc6b3ee37be86ac0e3ddc60030f7b3bc9b8553be"
  integrity sha512-ISv/Ch+ig7SOtw7G2+qkwfVASzazUnvlDTwypdLoPoySv+6MqlOV10VwPSE6EWkGjhW50lUmghPmpYZXMu/+AQ==
​
swiper@^8.0.7:
  version "8.0.7"
  resolved "https://registry.npmjs.org/swiper/-/swiper-8.0.7.tgz#9eefe26c703e627a6dc7237c0109e172ce06e3f6"
  integrity sha512-GHjDfxSZdupfU7LrSVOpaNaT7R1D2zxopPGBFz1UOXOtsYvVJLg0k6NvkTAD7qn0ASl5pTti82qoYwvYvIkg4g==
  dependencies:
    dom7 "^4.0.4"
    ssr-window "^4.0.2"

对比一下 yarn.lock 文件和 package-lock.json 文件,我们可以发现一下几点不同:

  • package-lock.json 与 yarn.lock 格式上有差异。

  • npm v5 中只需要 package-lock.json 就可以保正确的 node_modules 目录结构,而 yarn 需要同时拥有 yarn.lock 文件和 package.json文件。(可参考Yarn 的确定性

在使用 yarn 作为包管理工具时,我们也需要主要以下几点:

  • yarn.lock 是自动生成的,不要手动修改它
  • 将 yarn.lock 文件上传到 git
  • 升级依赖时,使用yarn upgrade命令,不要手动修改 package.json 和 yarn.lock 文件
  • 不得以不要把 lock 文件删掉,整个重装。这样会造成原本锁住的版本都放开了,执行yarn install的时候会根据 package.json 里定义的版本区间去找最新版,可能会造成你预期外的依赖也被更新了, 有可能会引入 bug。

yarn2

yarn2 版本是无 node_modules 模式,可以加快项目安装速度,同时大大缩减删除一整个项目的速度。[这里顺带提一嘴,不过多介绍 🤡]

npm install -g yarn@berry

pnpm

pnpm(perfomance npm) 现代包管理工具,其性能上有很大的提高。

基本使用

npm install -g pnpm // 全局安装 pnpm 
​
pnpm add axios // 添加至dependencies
pnpm add axios -D   // 添加至devDependencies
pnpm add -O [package] //保存到optionalDependencies
​
pnpm update  // 更新
​
pnpm remove/uninstall // 删除
​
pnpm dlx  // 从源中获取包而不将其安装为依赖项,热加载,并运行它公开的任何默认命令二进制文件。
​
pnpm link // 将本地项目连接到另一个项目,这里是硬连接。

基本特性

  • 本地安装包速度快: 相比于npm / yarn 快 2-3 倍。
  • 磁盘空间利用高效: 及时版本不同也不会重复安装同一个包。
  • 安全性高:避免了npm/yarn 非法访问依赖二重身的风险

pnpm 是如何提升性能的?

一句话概括:pnpm 在安装依赖时使用了 hard link 机制,使得用户可以通过不同的路径去寻找某个文件。pnpm 会在全局的 store 目录下存储 node_modules 文件的 hard link。

下面先简单讲讲几个概念: hard link 、symlink 以及全局的 store 目录。

什么是 hard link 和 symlink

本质上都是文件访问的方式。

hard link(硬链接):如果 A 是 B 的硬链接,则 A 的 indexNode(可以理解为指针) 与 B 的 indexNode 指向的是同一个。删除其中任何一个都不会影响另外一个的访问。作用是:允许一个文件拥有多个有效路径,这样用户可以避免误删。

symlink(软链接或符号链接symbolic link):类似于桌面快捷方式。比如 A 是 B 的软连接(A 和 B 都是文件名),A 和 B 的 indexNode 不相同,但 A 中只是存放这 B 的路径,访问 A 时,系统会自动找到 B。删掉 A 与 B 没有影响,相反删掉 B,A 依然存在,但它的指向是一个无效链接。

store 目录

store 目录一般在${os.homedir}/.pnpm-store/v3/files 这个目录下。 由于 pnpm 会在全局的 store 目录下存储 node_modules 文件的 hard link,这样在不同项目中安装同一个依赖的时候,不需要每次都去下载,只需要安装一次就行,避免了二次安装的消耗。这点 npm 、yarn 在不同项目上使用,都需要重新下载安装。
在这里插入图片描述
store 目录也会随着安装的包的数量越来越大,使用 pnpm store prune 命令可以删除不再被引用的包。(不推荐频繁使用)

pnpm 网状+平铺的node_modules 结构

我们同样使用 pnpm 来安装一下 swiper 包,此时会自动生成一个 pnpm-lock.yaml 文件。接着我们来看看在 pnpm 中 node_modules 结构与 npm 和 yarn 有什么不同。

image.png

安装 swiper 包后,根 node_modules 下会存在两个目录, 一个是 .pnpm 虚拟磁盘目录,用户不能直接从中 require;另一个 swiper 目录,正常node require 的路径, 这个 swiper 我们称之为 swiper 的软链 。当 node 解析依赖时,会通过这个软链来找到 swiper 的真实位置,swiper 真实的位置在 .pnpm/swiper@8.0.7/node_modules/swiper 下,这个文件称为 swiper 的硬链,会真实的链接到全局的 store 中。

image.png

由于兼容性问题,没有使用 symlink 代替 hard link 。实际上存在 store 目录里面的依赖也是可以通过软链接去找到的,node.js 本身提供了一个 --preserve-symlinks 的参数来支持 symlink ,但实际这个参数对应 symlink 的支持并不好,所以作者放弃了。

npm 与 yarn 的 共性问题

npm 与 yarn 在安装依赖虽然也实现了包打平,但还是存在两个问题:phatomdoppelgangers

image.png

  • phatom (非法访问依赖):package.json 中只声明了 A, A 的 depdencies 有 B, 这样安装在 A 时 B 也会被安装,项目中还是可以 require 到 B。
  • doppelgangers (二重身): 一个包的不同版本还是会重复安装(不能打平同一个包的不同版本),能会造成同一个包重复安装,性能还是会损失。

pnpm 中不会出现这两种情况,首先依赖的打平是在 .pnpm 的 node_modules 中,而.pnpm 是一个虚拟的磁盘目录,用户不能 require 到;其次pnpm 安装的依赖始终都是存在全局 store 目录下的 hard links,一份不同的依赖始终都只会被安装一次。

pnpm 独有的特点

pnpm 除了能解决上述 npm 与 yarn 的 共性问题外,其独有的特点如下。

  • 管理 Node.js 版本:在 .npmrc 文件下,可配置运行项目的 node 版本。 pnpm 将自动安装指定版本的 Node.js 并将其用于执行 pnpm run 命令或 pnpm node 命令。(可参考npmrc
  • 内容可寻址存储(CAS):是一种存储机制,其中为固定数据分配了硬盘上的永久位置,并使用唯一的内容名称,标识符或地址进行寻址。

pnpm 的 Monorepo 策略

pnpm 对 Monorepo 也有很好的支持。那么如何使用 pnpm 来构建 Monorepo 项目?

  • 全局配置 pnpm-workspace.yaml

    packages:
  # all packages in subdirs of packages/ and components/
  - 'packages/**'

  • 使用 pnpm 安装全局公用的包

    pnpm install react react-dom -w // 根目录
pnpm i dayjs -r --filter packageName  // 安装在指定的 packages下

    • -w 将包安装在根目录下的 node_modules

    • -r 将包安装在指定 package 下,并需要配合指定的参数 --filter, 后面接 package 的name

crazy的蓝色梦想
关注
专栏目录
Vue3通透教程【二】高效的构建工具—Vite
官方推荐
02-06 6万+
为大家介绍新一款的构建工具——Vite,当然我们Vite多的是被用于开发阶段,下面也为大家介绍到了 Vite 想比于 webpack 编译中的优势,以及Vite构建Vue3项目的步骤教程,赶快跟着我尝试一下吧!
Vue3项目开发——新闻发布管理系统(一)
最新发布
bjzhang75的博客
08-21 501
一、项目要实现的功能 二、项目用到的技术栈 三、项目创建 四、项目配置
pnpm-lock.yaml、yarn.lock以及package-lock.json的区别
旺旺旺小小苏的博客
12-15 4152
pnpm使用了一个全局存储来保存所有项目的依赖项,只在项目的node_modules目录中创建对全局存储中的依赖项的链接,从而大大减少了磁盘空间的使用。pnpm-lock.yaml:当某个在pnpm-lock.yaml能找到,且市场上该存在新的版本时,且在package.json中存在^~允许新时,开发者在下载依赖时还是会以pnpm-lock.yaml中的的版本去下载依赖,不会自动下载新的版本。这些锁定文件的主要目的是确保在不同的环境中,项目的依赖项版本始终保持一致。二、依赖项的存储方式。
管理工具:npm、yarn、cnpm、npx、pnpm
weixin_54327001的博客
07-12 834
 yarn是由Facebook(react)、Google、Exponent 和 Tilde 联合推出了一个新的 JS 管理工具; yarn 是为了弥补早期npm 的一些缺陷而出现的; 早期的npm存在很多的缺陷,比如安装依赖速度很慢、版本依赖混乱等等一系列的问题; 虽然从npm5版本开始,进行了很多的升级和改进,但是依然很多人喜欢使用yarn;-g安装后,进行全局的环境配置,Windows的终端也可以使用添加脚本:yarn/npm run build。
pnpm install 后还是没有生成 pnpm-lock.yaml 文件
Vivien_CC的博客
08-17 525
我删除了pnpm-lock.yaml文件,以便获得最新的依赖项 运行 pnpm i 命令,以便生成具有最新依赖项的新 pnpm-lock.yaml。但不幸的是 pnpm-lock.yaml 没有生成。于是乎,直接执行 pnpm i --lockfile-only。不管如何尝试 pnpm i ,就是没有lock文件,烦鼠了。
超详细保姆级vue3和代码规范项目搭建
qq_44984407的博客
07-08 2513
每个npm中都有一个package.json文件,如果要发的话,package.json中的version就是版本号了。version字段结构为:'0.0.0-0’分别代表:大号.中号.小号-预发布号,对应majon.minor.patch-prereleasenpm中version的类别及描述:major。
项目中使用 pnpm 无法启动
小小•愿望的博客
05-08 7625
项目中使用 pnpm 无法启动
pnpm的使用
热门推荐
qq_27971677的博客
05-12 1万+
npm init 生成,如果要一键快速生成,需要增加 -y 参数 npm init -y 来生成。查看全局安装的依赖:pnpm list --global**,**别名 pnpm ls --g。因此,您在磁盘上节省了大量空间,这与项目和依赖项的数量成正比,并且安装速度要快得多!当软件被被安装时,里的文件会硬链接到这一位置,而不会占用额外的磁盘空间。使用 npm、Yarn 时,依赖每次被不同的项目使用,都会重复安装一次。如果你用到了某依赖项的不同版本,只会将不同版本间有差异的文件添加到仓库。
聚沙成兵系列1:管理工具——PNPM
jiangchao_mars的博客
02-09 359
pnpm是你下一个Node.js项目首选的管理工具
主流管理工具npm、yarn、cnpm、pnpm之间的区别与联系——原理篇(1)
2401_84091580的博客
04-05 675
核心竞争力,怎么才能提高呢?成年人想要改变生活,逆转状态?那就开始学习吧~万事开头难,但是程序员这一条路坚持几年后发展空间还是非常大的,一切重在坚持。为了帮助大家高效的准备面试,特别整理了《前端工程师面试手册》电子稿文件。
主流管理工具npm、yarn、cnpm、pnpm之间的区别与联系——原理篇
2401_84091243的博客
04-13 996
本人分享一下这次字节跳动、美团、头条等大厂的面试真题涉及到的知识点,以及我个人的学习方法、学习路线等,当然也整理了一些学习文档资料出来是附赠给大家的。知识点涉及比较全面,括但不限于前端基础,HTML,CSS,JavaScript,Vue,ES6,HTTP,浏览器,算法等等详细大厂面试题答案、学习笔记、学习视频等资料领取,点击资料领取直通车比较全面,括但不限于前端基础,HTML,CSS,JavaScript,Vue,ES6,HTTP,浏览器,算法等等详细大厂面试题答案、学习笔记、学习视频等资料领取,
白屏时间长的原因?优化的方法?pnpm的了解
weixin_44423378的博客
01-15 399
白屏的问题,pnpm的了解
新一代管理工具 pnpm 使用心得
JEECG官方博客
07-26 659
最近将几个项目的管理器都由 npm 切换为了 pnpm,迁移体验非常棒,算得上是个人体验最好的一次工具迁移。以下是我本人使用 pnpm 的直观感受:体验优良,依赖安装速度极快,占用磁盘空间小。上手简单,绝大部分 npm / yarn 项目可以低成本完成迁移,官方也有较详尽的中文文档。pnpm 组织 node_modules 目录的方式兼容原生 Node,与打工具配合良好,可以放心应用于生产环境。
pnpmnpm、yarn 管理工具『优劣对比』及『环境迁移』
ReturnTmp的博客
10-07 1411
博主在开发前端网站的时候,发现随着开发的项目的逐渐增多,安装的依赖越来越臃肿,依赖的安装速度也是非常越来越慢,多项目开发管理也是比较麻烦。之前我就了解过pnpm,但是当时担心管理环境可能会出现的依赖等问题,并且也没有急切的需求,所以当时并没有立即换综上所述,随着上面问题的出现,管理环境也逐渐提上日程,所以本文主要将会简单对比pnpmnpm / yarn,并且详细讲解如何在多项目环境中迁移到pnpm此时期主要是采用简单的递归依赖方法,最后形成高度嵌套的依赖树。
Differences between package.json and pnpm-lock.yaml
少油少盐不要辣
11-22 304
1.pnpm-lock.yaml 是pnpm管理工具生成的 确保依赖的版本在所有的环境里面都相同 对依赖的任何操作都会新在该文件中,因此,需要确保提交到代码仓库中。 含了解析的依赖项和版本号。如下图: 2.package.json 列出应用所需的依赖和元数据 所有的管理工具都使用该文件安装
vue/react项目npm迁移pnpm,同时兼容npm
weixin_63453708的博客
02-16 2301
vue2项目npm迁移pnpm,同时兼容npm
pnpm v8版本升级变化关注点(前瞻速攻版)
幻日のヨハネ
02-21 1万+
pnpm版本已经发布,含少量变化,但其中还是有令人在意的点的。本文将默认读者拥有大部分 pnpm v7 版本的知识储备,进行 v8 版本的前瞻速攻。Monorepo 丝滑方法论:引用模块热新Monorepo 管理方法论和依赖安全从 v7 升级至 v8 是几乎无损、水到渠成顺利的。另外,请留意在 v8 状态下你的依赖是锁定等价的最低版本,请定期升级版本防止不必要的 bug ,并在出现 bug 时升级依赖排查。
pnpm install报错
qq_44912455的博客
03-21 2239
以下是nvm管理node版本常用的一些命令,方便多个项目切换node版本。原因是npm版本过高,降低版本可成功install。
安装pnpm管理器
12-28
PNPM 是一个用于 Node.js管理器,它提供了一种简单而快速的方式来安装和。PNPM 旨在提供与 npm 类似的 API,但具有高的性能和少的资源消耗。 安装 PNPM 的步骤如下: 1. 确保你已经安装了 Node.js。 2. 打开终端或命令提示符,并导航到你的项目目录。 3. 运行以下命令来安装 PNPM: ```lua npm install pnpm -g ``` 这将全局安装 PNPM,并将其添加到你的 PATH 环境变量中,以便可以在任何目录下使用它。 安装完成后,你可以使用 PNPM 来安装和。以下是使用 PNPM 进行安装的示例: 1. 在终端或命令提示符中,导航到你的项目目录。 2. 运行以下命令来安装一个: ```lua pnpm install <package-name> ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值