package-lock.json和yarn.lock的包依赖区别

最新推荐文章于 2024-05-06 17:45:21 发布
最新推荐文章于 2024-05-06 17:45:21 发布
阅读量3k 收藏 6
点赞数 3
文章标签: json javascript 运维 ViewUI
原文链接:https://segmentfault.com/a/1190000017075256
版权

node包管理

包是一段可以复用的代码,这段代码可以从全局注册表下载到开发者的本地环境。每个包可能会,也可能不会依赖于别的包。简单地说,包管理器是一段代码,它可以让你管理依赖(你或者他人写的外部代码),你的项目需要这些依赖来正确运行。

为啥我们需要一个包管理工具呢?因为我们在Node.js上开发时,会用到很多别人写的JavaScript代码。如果我们要使用别人写的某个包,每次都根据名称搜索一下官方网站,下载代码,解压,再使用,非常繁琐。

更重要的是,如果我们要使用模块A,而模块A又依赖于模块B,模块B又依赖于模块C和模块D,npm可以根据依赖关系,把所有依赖的包都下载下来并管理起来。否则,靠我们自己手动管理,肯定既麻烦又容易出错。

于是一个集中管理的工具应运而生:

  1. 大家都把自己开发的模块打包后放到npm官网上,如果要使用,直接通过npm安装就可以直接用,不用管代码存在哪,应该从哪下载。
  2. Yarn 是为了弥补npm 的一些缺陷[速度慢,稳定性高]而出现的。”

npm

npm 为你和你的团队打开了连接整个 JavaScript 天才世界的一扇大门。它是世界上最大的软件注册表,每星期大约有 30 亿次的下载量,包含超过 600000 个 包( package) (即,代码模块)。来自各大洲的开源软件开发者使用 npm 互相分享和借鉴。包的结构使您能够轻松跟踪依赖项和版本。

下面是关于 npm 的快速介绍:npm 由三个独立的部分组成:

  • 网站
    网站 是开发者查找包(package)、设置参数以及管理 npm 使用体验的主要途径。
  • 注册表(registry
    注册表 是一个巨大的数据库,保存了每个包(package)的信息。
  • 命令行工具 (CLI)
    CLI 通过命令行或终端运行。开发者通过 CLI 与 npm 打交道。

yarn

Yarn发布于2016年10月,并在Github上迅速拥有了2.4万个Star。而npm只有1.2万个star。这个项目由一些高级开发人员维护,包括了Sebastian McKenzie(Babel.js)和Yehuda Katz(Ember.js、Rust、Bundler等)。

Yarn一开始的主要目标是解决上一节中描述的由于语义版本控制而导致的npm安装的不确定性问题。虽然可以使用 npm shrinkwrap来实现可预测的依赖关系树,但它并不是默认选项,而是取决于所有的开发人员知道并且启用这个选项。
Yarn采取了不同的做法。每个 yarn安装都会生成一个类似于 npm-shrinkwrap.jsonyarn.lock文件,而且它是默认创建的。除了常规信息之外, yarn.lock文件还包含要安装的内容的校验和,以确保使用的库的版本相同。

yarn的优化主要体现在:

  1. 速度快 :

    • 并行安装:无论 npm 还是 Yarn 在执行包的安装时,都会执行一系列任务。npm 是按照队列执行每个 package,也就是说必须要等到当前 package 安装完成之后,才能继续后面的安装。而 Yarn 是同步执行所有任务,提高了性能。
    • 离线模式:如果之前已经安装过一个软件包,用Yarn再次安装时之间从缓存中获取,就不用像npm那样再从网络下载了。
  2. 安装版本统一:为了防止拉取到不同的版本,Yarn 有一个锁定文件 (lock file) 记录了被确切安装上的模块的版本号。每次只要新增了一个模块,Yarn 就会创建(或更新)yarn.lock 这个文件。这么做就保证了,每一次拉取同一个项目依赖时,使用的都是一样的模块版本。
  3. 更好的语义化: yarn改变了一些npm命令的名称,比如 yarn add/remove,感觉上比 npm 原本的 install/uninstall 要更清晰。

node包的安装

  1. 执行工程自身 preinstall

    • 当前 npm 工程如果定义了 preinstall 钩子此时会被执行。

  2. 确定首层依赖

    • 模块首先需要做的是确定工程中的首层依赖,也就是 dependenciesdevDependencies 属性中直接指定的模块(假设此时没有添加 npm install 参数)。工程本身是整棵依赖树的根节点,每个首层依赖模块都是根节点下面的一棵子树,npm 会开启多进程从每个首层依赖模块开始逐步寻找更深层级的节点。

  3. 获取模块

    • 获取模块是一个递归的过程,分为以下几步:
    • 获取模块信息。在下载一个模块之前,首先要确定其版本,这是因为 package.json 中往往是 semantic version(semver,语义化版本)。此时如果版本描述文件(npm-shrinkwrap.jsonpackage-lock.json)中有该模块信息直接拿即可,如果没有则从仓库获取。如 packaeg.json 中某个包的版本是 ^1.1.0,npm 就会去仓库中获取符合 1.x.x 形式的最新版本。
    • 获取模块实体。上一步会获取到模块的压缩包地址(resolved 字段),npm 会用此地址检查本地缓存,缓存中有就直接拿,如果没有则从仓库下载。
    • 查找该模块依赖,如果有依赖则回到第1步,如果没有则停止。

  4. 模块扁平化(dedupe

    • 上一步获取到的是一棵完整的依赖树,其中可能包含大量重复模块。比如 A 模块依赖于 loadsh,B 模块同样依赖于 lodash。在 npm3 以前会严格按照依赖树的结构进行安装,因此会造成模块冗余。yarn和从 npm5 开始默认加入了一个 dedupe 的过程。它会遍历所有节点,逐个将模块放在根节点下面,也就是 node-modules 的第一层。当发现有重复模块时,则将其丢弃。这里需要对重复模块进行一个定义,它指的是模块名相同且 semver 兼容。每个 semver 都对应一段版本允许范围,如果两个模块的版本允许范围存在交集,那么就可以得到一个兼容版本,而不必版本号完全一致,这可以使更多冗余模块在 dedupe 过程中被去掉。

  5. 安装模块

    • 这一步将会更新工程中的node_modules,并执行模块中的生命周期函数(按照 preinstall、install、postinstall 的顺序)。

  6. 执行工程自身生命周期

    • 当前 npm 工程如果定义了钩子此时会被执行(按照 install、postinstall、prepublish、prepare 的顺序)。

包依赖关系

我们要使用模块A,而模块A又依赖于模块B,模块B又依赖于模块C和模块D,npm可以根据依赖关系,把所有依赖的包都下载下来并管理起来,而这种依赖又有不一样的表现形式。

  1. 嵌套依赖
  2. 扁平依赖

嵌套依赖

假设目前工程依赖 A, B, C 三个库,而他们对某个库 somelib 存在这样的依赖关系:

A - somelib 1.4.x
B - somelib 1.6.x
C - somelib 1.6.x

如果要安装 ABC 三个库,那么 somelib 会存在版本冲突。npm5+/yarn 会在实际安装时,给三个库分别下载各自依赖的 somelib 版本。假设 npm 先安装了 A, 由于 A 依赖 somelib 1.4.x 版本,那么 自身依赖先安装1.4.x 。再安装 B, C 时,由于 B, C 依赖的都不是 1.4.x, 于是安装完之后,关系就变成这个样子了:

node_modules
├── A
│   └── node_modules
│       └── somelib 1.4.x
├── B
│   └── node_modules
│       └── somelib 1.6.x
└── C
    └── node_modules
        └── somelib 1.6.x

这样就是嵌套依赖。
很显然这种方式很大的浪费了磁盘空间。

扁平依赖

当关联依赖中包括对某个软件包的重复引用,在实际安装时将尽量避免重复的创建。

假设目前工程依赖 A, B, C 三个库,而他们对某个库 somelib 存在这样的依赖关系:

A - somelib 1.4.x
B - somelib 1.6.x
C - somelib 1.6.x

如果要安装 ABC 三个库,那么 somelib 会存在版本冲突。npm5+/yarn 会在实际安装时,给三个库分别下载各自依赖的 somelib 版本。假设 npm 先安装了 A, 由于 A 依赖 somelib 1.4.x 版本,那么 1.4.x 会变成主版本。再安装 B, C 时,由于 B, C 依赖的都不是 1.4.x, 于是安装完之后,关系就变成这个样子了:

node_modules
├── A
├── somelib 1.4.x
├── B
│   └── node_modules
│       └── somelib 1.6.x
└── C
    └── node_modules
        └── somelib 1.6.x

这样就是扁平依赖。

需要注意的是,明明 B, C 都依赖 1.6.x 版本,实际上 npm5+/yarn 却要把这个版本保存两次,这样明显是对磁盘空间的浪费。我们把这种情况就称为不完全扁平的。目前这种情况还无法安全解决。

lock文件

锁文件是由包管理器自动生成的。它包含了重现全部的依赖源码树需要的所有信息、你的项目依赖中的所有信息,以及它们各自的版本。

现在值得强调的是,Yarn 使用了锁文件,而 npm5以前没有默认锁文件,npm5之后加入了默认锁文件功能。我们会谈到这种差别导致的一些后果。既然我已经向你介绍了包管理器这部分,现在我们来讨论依赖本身。

目前常见的两种lock文件:

  1. packahe-lock.json 是npm5之后默认生成的锁文件
  2. yarn.lock 是yarn的锁文件

packahe-lock.json解析

{
  "name": "package-name",
  "version": "1.0.0",
  "lockfileVersion": 1,
  "dependencies": {
    "cacache": {
      "version": "9.2.6",
      "resolved": "https://registry.npmjs.org/cacache/-/cacache-9.2.6.tgz",
      "integrity": "sha512-YK0Z5Np5t755edPL6gfdCeGxtU0rcW/DBhYhYVDckT+7AFkCCtedf2zru5NRbBLFk6e7Agi/RaqTOAfiaipUfg=="
    },
    "duplexify": {
      "version": "3.5.0",
      "resolved": "https://registry.npmjs.org/duplexify/-/duplexify-3.5.0.tgz",
      "integrity": "sha1-GqdzAC4VeEV+nZ1KULDMquvL1gQ=",
      "dependencies": {
        "end-of-stream": {
          "version": "1.0.0",
          "resolved": "https://registry.npmjs.org/end-of-stream/-/end-of-stream-1.0.0.tgz",
          "integrity": "sha1-1FlucCc0qT5A6a+GQxnqvZn/Lw4="
        },
    }
  }
}

可以看出来,package-lock.json把所有的包的依赖顺序列出来,第一次出现的包名会提升到顶层,后面重复出现的将会放入被依赖包的node_modules当中。引起不完全扁平化问题。

yarn.lock解析

# THIS IS AN AUTOGENERATED FILE. DO NOT EDIT THIS FILE DIRECTLY.
# yarn lockfile v1
package-1@^1.0.0:
  version "1.0.3"
  resolved "https://registry.npmjs.org/package-1/-/package-1-1.0.3.tgz#a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0"
package-2@^2.0.0:
  version "2.0.1"
  resolved "https://registry.npmjs.org/package-2/-/package-2-2.0.1.tgz#a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0"
  dependencies:
    package-4 "^4.0.0"
package-3@^3.0.0:
  version "3.1.9"
  resolved "https://registry.npmjs.org/package-3/-/package-3-3.1.9.tgz#a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0"
  dependencies:
    package-4 "^4.5.0"
package-4@^4.0.0, package-4@^4.5.0:
  version "4.6.3"
  resolved "https://registry.npmjs.org/package-4/-/package-4-2.6.3.tgz#a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0"

显然yarn.lock锁文件把所有的依赖包都扁平化的展示了出来,对于同名包但是semver不兼容的作为不同的字段放在了yarn.lock的同一级结构中。

验证实例

在一个测试package工程里面,安装了以下三个包,安装了react-router 3.2.1,另外安装了react-router-dom 4.3.1 和react-router-native 4.3.0,这两个都依赖"react-router": "^4.3.0",结果如下:
.
└── node_modules

├── react-router-dom4.3.1
│   └── react-router4.3.1
├── react-router-native4.3.0
│   └── react-router4.3.1
└── react-router3.2.1

查看package-lock.json结果和最后node_modules安装结果:

clipboard.png
图片描述

查看yarn.lock结果和最后node_modules安装结果:

图片描述

图片描述

lock官方介绍
理解 NPM 5 中的 lock 文件
知乎问答1
知乎问答2

weixin_34066347
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
npm和yarnlock文件
wade3po的博客
11-20 2498
npm安装依赖的时候会生成package-lock.json文件,几乎不会有人去关注这个文件是干嘛的,今天同事突然跟我说以后安装依赖都用yarn,不然会出现两个lock文件。 yarn是Facebook、Google、Exponent 和 Tilde 联合推出了一个新的 JS 管理工具,说是为了弥补npm的一些缺陷。最大的体现是速度上,npm确实是慢,国内更是很容易失败报错,我基本使用淘宝cnpm。npm必须等到上一个依赖安装成功之后才能安装下一个,yarn是并行安装,速度上提高的不是一点半点,其实安装依
实现yarnlockpackagelockjson相互转换
08-11
实现yarn.lockpackage-lock.json相互转换
yarn的安装和使用
最新发布
走向CTO的路上...
05-06 1001
虽然 npm 仍然是 Node.js 官方推荐的管理器,但 Yarn 凭借其出色的性能和特性,已经成为许多开发人员和大型项目的首选。Yarn 使用 yarn.lock 文件来锁定依赖的版本,确保在不同环境下安装的依赖完全一致,避免了"快照"问题。随着单体仓库架构在大型项目中的流行,Yarn 可以进一步增强对这种架构的支持,提供更好的工作流和依赖管理。相比 npm,Yarn 的快速安装速度和离线缓存机制大大提高了依赖管理的效率,节省了开发人员的时间。
yarn.lockpackage-lock.json、npm-shrinkwrap.json区别
HD243608836的博客
08-22 569
(比如执行yarn upgrade vue时vue:2.6.5的会下载2.6.5的,vue:^2.6.5的会下载2.6.10最新的,如果yarn upgrade vue@版本号就会下载对应版本的),会按照语义版本控制规则(在下面会解释)下载最新的依赖并且构建为依赖关系树,也就是把共有的部分提取出来。到代码托管平台是有争议的,因为提交了可能依赖会有地雷,不提交依赖关系可能会出错,一般来说是应该提交的。版本号的vue(只限定于没有lock文件,有lock文件会根据lock中的路径下载对应版本)。
package.jsonpackage-lock.jsonyarn.lock
weixin_50736511的博客
10-28 1754
NPM 和 YARN 是两个不同的管理系统, 其中 NPM 生成 package-lock.json, YARN 生成 yarn.lock, 这两个文件记录当前项目所依赖的各个的版本。为了在多台机器之间获得一致的安装结果,Yarn 可能会需要比 package.json 文件中配置的依赖项更多的信息。例如:我们使用了jquery1.x版本,如果没有锁定版本,npm install时会自动安装最新版,jq1.x版本和jq2.x版本是有重大差异的,此时自动安装2.x版本可能会导致某些问题。
package.json package-lock.json yarn.lock相关知识
BingHongChaZuoAn的专栏
08-27 1304
参考文章: https://swift.ctolib.com/imsnif-synp.html https://segmentfault.com/a/1190000017239545?utm_source=tag-newest 一 、首先package.jsonpackage-lock.json 是 npm管理 依赖的配置文件。而 yarn.lockyarn 管理依赖的文...
package.jsonpackage-lock.json区别
weixin_30908707的博客
09-07 256
发现我的node项目下面只有一个package-lock.json文件,不存在package.json文件,顺便扒一扒这两个的区别,其实package-lock就是锁定安装时的版本号,需要上传到git上,以保证其他人在install时候,大家的依赖版本相同。 官方文档:这个package-lock.json 是在 `npm install`时候生成一份文件,用以记录当前状态下实际安装的各个np...
fix-package-lock:通过重新生成来修复package-lock.json
02-03
通过重新生成来修复package-lock.json 入门 先决条件 使用npm 5在Node v9上进行了测试。 正在安装 全局安装fix-package-lock将安装fix-package-lock命令: # Using npm npm install -g fix-package-lock # Using ...
yarn.lock转换为package-lock.json,反之亦然-JavaScript开发
05-26
install npm install -g synp命令行用法yarn.lock => package-lock.json yarn#确保node_modules文件夹dir和synp将yarn.lock转换为package-lock.json,反之亦然。 install npm install -g synp命令行用法yarn.lock =...
synp:将yarn.lock转换为package-lock.json,反之亦然
02-03
安装npm install -g synp 命令行用法yarn.lock => package-lock.json yarn # be sure the node_modules folder dir and is updatedsynp --source-file /path/to/yarn.lock# will create /path/to/package-lock.json...
universal-module-tree:从 package-lock.json yarn.lock node_modules 获取模块树
05-29
package-lock.jsonyarn.lock或node_modules/**获取完整的模块树。 用法 const getTree = require ( 'universal-module-tree' ) const tree = await getTree ( __dirname ) console . log ( JSON . stringify...
yarn.lockpackage-lock.json、npm-shrinkwrap.json的理解
Mybells
08-20 4894
1. 先说下yarn下载的流程 2. npm-shrinkwrap.jsonpackage-lock.json区别与联系 3. 解释与实践 4. yarn.lock文件的作用 5. 相关链接
Node.js 依赖管理(三)—package-lock.json详解
weixin_30596343的博客
02-11 384
原文链接:https://www.novenblog.xin/detail?id=68 本文拜读百度@小蘑菇哥哥的Node.js 中的依赖管理,正文从这里开始~ papackage.json nodeJs项目中都会有package.json的存在,这个文件会记录运行该项目所有依赖,并且以平级的形式展示出来,文件内容与下图类似: 但是在实际中,一个npm往往会依赖于其他几个甚至几...
yarn.lock 文件介绍
云满笔记
06-15 1万+
NPM 和 YARN 是两个不同的管理系统, 其中 NPM 生成 package-lock.json, YARN 生成 yarn.lock, 这两个文件记录当前项目所依赖的各个的版本。最安全的做法是在每次依赖关系发生变化时生成并提交它们。 但是, 这可能很麻烦, 或者两个文件可能不同步。所以现在的一般做法是只保留其中一个文件, 忽略另外一个文件, 这取决于当前使用的管理系统。推荐使用 YARN, 即保留 yarn.lock, 而且每次变动需要提交该文件。官方对 文件的说明如下:需要注意的是: 所有
关于package.jsonpackage-lock.jsonyarn.lock 的安装问题
Baron的技术blog
09-29 4213
package.json 是记录项目依赖的版本文件。当我们新 clone 一个项目后,需要根据里面记载的信息下载对应的版本依赖到node_modules 文件夹。 package-lock.jsonyarn.lock 是保证项目依赖版本稳定的安全文件 。 一般情况,用npm、和yarn 都可以下载对应的依赖,但是会有一些特殊诡异的情况。这时候我们需要观察: 如果拉下来的项目中有package-lock.json,我们就要用npm 或者cnpm 安装 (注意有时node版本也会有影响) 如果原项目中有
yarn前端不可缺少的管理工具
局外人LZ的博客
02-27 792
Yarn 是一个用于管理 JavaScript 项目依赖关系的管理工具。它是由 Facebook、Google、Exponent 和 Tilde 团队共同开发的,并且在开源社区中得到广泛支持和使用。Yarn 的目标是解决 npm(Node Package Manager)在性能和可靠性方面的一些问题。它提供了更快的下载速度、更一致的依赖关系解析、更好的缓存管理以及更简洁的命令行界面。
yarn.lock冲突解决办法
我不写文章,我只是文章的搬运工
02-28 2964
一般yarn.lock冲突是因为 更新了一些依赖 这个时候对应的package也会冲突 一般是先解决package里面的冲突然后add. 然后把yarn.lock单独回退之前的版本,重新 yarn或者npm install一下 重新安装依赖 yarn.lock千万不要删 ...
yarn.lock文件
热门推荐
mangoyiy的博客
04-17 5万+
今天在项目中遇到了一个yarn.lock文件想搞清楚这yarn.lock的文件作用,所以就学习了一下yarnYarn是一个快速可靠安全的依赖管理工具。 主要的三个特点: 极其快速,Yarn会缓存它下载的每个,所以无需重复下载。它还能并行化操作以最大化资源利用率。 特别安全,Yarn会在每个安装被执行前校验其完整性 超级可靠, Yarn使用格式详尽而又简洁的lockfile文件...
package-lock.jsonyarn.lock
04-29
`package-lock.json` 是 npm 5 以后引入的,它记录了当前项目中所有依赖的精确版本号,以及依赖树的结构和依赖关系。每当执行 `npm install` 安装依赖时,`package-lock.json` 会被更新。 `yarn.lock` 是 Yarn ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值