npm lockfiles
为什么需要 lockfiles?
npm install 的输入是 package.json,它的输出是一棵 node_modules 树。理想情况下,npm install 应该像纯函数一样工作,对于同一个 package.json 总是生成完全相同的 node_modules 树。在某些情况下,确实如此。但在其他很多情况中,npm 无法做到这一点。有以下原因:
- 不同版本的 npm 的安装算法不同。
- 某些依赖项自上次安装以来,可能已发布了新版本,因此将根据 package.json 中的 semver-range version 更新依赖。
- 某个依赖项的依赖项可能已发布新版本,即使您使用了固定依赖项说明符(1.2.3 而不是 ^1.2.3),它也会更新。比如 packageA 的依赖项是 packageB,packageA 在 package.json 中写死成 1.2.3,它的依赖项 packageB 的版本写的是 ^3.4.5,假定此时 packageB 的最新版本是 3.4.5,那么运行 npm install,下载的 packageB 是 3.4.5,一段时间之后,如果 packageB 的最新版本变成 3.8.3,那么,此时团队其他成员运行 npm install,下载的 packageB 就是 3.8.3。所以,对于同一份 package.json,会生成不同 node_modules tree。为了解决这个问题,需要 lockfiles
为了在不同的环境下生成相同的 node_modules,npm 使用 package-lock.json 或 npm-shrinkwrap.json。这两个文件都被称为 lockfiles。无论何时运行 npm install,npm 都会生成或更新 lockfiles。