npm的lock机制解析


Posted in Javascript onJune 20, 2019

npm是什么

npm是一个包管理工具,开源作者可以把开源包发布在平台上供其他人下载使用。前端的同学基本都使用过npm,这里就不做过多介绍。日常工作中npm的主要用途就是根据项目的package.json使用npm install去安装依赖。

npm install可以说是我们使用最频繁的一个指令。在npm5版本之前,npm install会根据package.json指定的依赖版本去进行安装。但往往package.json中指定的是一个版本范围,例如:

"dependencies": {
  "packageA": "^2.0.0"
},

以上这个 ^2.0.0 指定的范围是版本号大于等于2.0.0且大版本号为2。即2.6.10这个是符合的,而3.0.0和1.0.0这种是不符合的。
这样的范围指定会导致一个问题:A新建了一个项目,生成了上面这份package.json文件,但A安装依赖的时间比较早,此时packageA的最新版本是2.1.0,该版本与代码兼容,没有出现bug。后来B克隆了A的项目,在安装依赖时packageA的最新版本是2.2.0,那么根据语义npm会去安装2.2.0的版本,但2.2.0版本的API可能发生了改动,导致代码出现bug。

这就是package.json会带来的问题,同一份package.json在不同的时间和环境下安装会产生不同的结果。

理论上这个问题是不应该出现的,因为npm作为开源世界的一部分,也遵循一个发布原则:相同大版本号下的新版本应该兼容旧版本。即2.1.0升级到2.2.0时API不应该发生变化。

但很多开源库的开发者并没有严格遵守这个发布原则,导致了上面的这个问题。

lock机制

一个新的事物的诞生都是为了解决一个历史问题

基于这种状况,npm5推出了lock机制。在使用npm5.0.0之后的版本时,npm install后会自动生成package-lock.json文件,该文件记录了当前这次install所安装的依赖版本号。

例如当package.json的依赖如下:

"dependencies": {
  "vue": "^2.0.0"
 },

install后自动生成的package-lock.json会指定安装vue2.6.10版本(当前最新)

"dependencies": {
  "vue": {
   "version": "2.6.10",
   "resolved": "https://registry.npm.taobao.org/vue/download/vue-2.6.10.tgz",
   "integrity": "sha1-pysaQqTYKnIepDjRtr9V5mGVxjc="
  }
 }

package-lock.json相当于本次install的一个快照,它不仅记录了package.json指明的直接依赖的版本,也记录了间接依赖的版本。

如果我们想在不同环境和不同时间下每次install时安装相同版本的依赖,我们就可以把package-lock.json带上。

当package.json和package-lock.json同时存在时,npm install会去检测package-lock.json指定的依赖版本是否在package.json指定的范围内。如果在,则安装package-lock.json指定的版本。如果不在,则忽略package-lock.json,并且用安装的新版本号覆盖package-lock.json。

举个例子:

// package.json
"dependencies": {
  "vue": "^2.0.0"
 }

// package-lock.json
"dependencies": {
  "vue": {
   "version": "2.1.0",
   "resolved": "https://registry.npm.taobao.org/vue/download/vue-2.1.0.tgz",
   "integrity": "sha1-KTuj76rKhGqmvL+sRc+FJMxZfj0="
  }
 }

这种情况下package-lock.json指定的2.1.0在^2.0.0指定的范围内,npm install会安装vue2.1.0版本。

// package.json
"dependencies": {
  "vue": "^2.2.0"
 }

// package-lock.json
"dependencies": {
  "vue": {
   "version": "2.1.0",
   "resolved": "https://registry.npm.taobao.org/vue/download/vue-2.1.0.tgz",
   "integrity": "sha1-KTuj76rKhGqmvL+sRc+FJMxZfj0="
  }
 }

这种情况下package-lock.json指定的2.1.0不在^2.2.0指定的范围内,npm install会按照^2.2.0的规则去安装最新的2.6.10版本,并且将package-lock.json的版本更新为2.6.10。

值得注意的是npm5一发布时并不是采取这种install逻辑,在npm5.0到npm5.6之间install的逻辑发生了多次变更,而在npm5.6之后一直沿用当前这种逻辑。

npm ci

npm5之后的lock机制满足了要求锁版本的开发者们的需要,我们只需要拿到一份package-lock.json就可以知道要安装的依赖的具体版本号。但细心的同学会发现当package-lock.json指定的版本号不在package.json指定的范围内时,package-lock.json就会被更新覆盖。这可不利于我们去维持版本的固定。

因此后续npm也推出了npm ci的指令来解决这一问题,npm ci和npm i的不同之处在于:当package-lock.json指定的依赖版本不在package.json指定的依赖版本范围内时,npm会报错并取消安装。

npm的lock机制解析

这样我们就不怕在package-lock和package.json不一致时发生覆盖更新。

总结

在npm5.6以后我们就可以放心大胆地使用package-lock.json文件来锁版本,而在构建部署时可以使用npm ci安装命令来防止npm install的覆盖更新问题。

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Javascript 相关文章推荐
Javascript 布尔型分析
Dec 22 Javascript
javascript下利用arguments实现string.format函数
Aug 24 Javascript
jQuery1.4.2与老版本json格式兼容的解决方法
Feb 12 Javascript
JavaScript实现节点的删除与序号重建实例
Aug 05 Javascript
自动化测试读写64位操作系统的注册表
Aug 15 Javascript
JavaScript定义数组的三种方法(new Array(),new Array('x','y')
Oct 04 Javascript
jQuery实现页面顶部下拉广告
Dec 30 Javascript
浅谈ES6 模板字符串的具体使用方法
Nov 07 Javascript
iview中Select 选择器多选校验方法
Mar 15 Javascript
vue弹窗组件使用方法
Apr 28 Javascript
JavaScript实现简单计算器功能
Dec 19 Javascript
es6 for循环中let和var区别详解
Jan 12 Javascript
express如何解决ajax跨域访问session失效问题详解
Jun 20 #Javascript
JS去除字符串最后的逗号实例分析【四种方法】
Jun 20 #Javascript
如何在微信小程序中实现Mixins方案
Jun 20 #Javascript
js JSON.stringify()基础详解
Jun 19 #Javascript
使用jquery-easyui的布局layout写后台管理页面的代码详解
Jun 19 #jQuery
Vue-Cli 3.0 中配置高德地图的两种方式
Jun 19 #Javascript
vue axios重复点击取消上一次请求封装的方法
Jun 19 #Javascript
You might like
php基础知识:类与对象(3) 构造函数和析构函数
2006/12/13 PHP
第六章 php目录与文件操作
2011/12/30 PHP
php查询操作实现投票功能
2016/05/09 PHP
php基于ob_start(ob_gzhandler)实现网页压缩功能的方法
2017/02/18 PHP
js变量作用域及可访问性的探讨
2006/11/23 Javascript
关于COOKIE个数与大小的问题
2011/01/17 Javascript
检测input每次的输入是否合法遇到汉字输入就有问题
2012/05/23 Javascript
js判断是否为ie的方法小结
2014/01/13 Javascript
解读Bootstrap v4 sass设计
2016/05/29 Javascript
jQuery tagsinput在h5邮件客户端中应用详解
2016/09/26 Javascript
js中class的点击事件没有效果的解决方法
2016/10/13 Javascript
基于javascript实现按圆形排列DIV元素(二)
2016/12/02 Javascript
jQuery密码强度验证控件使用详解
2017/01/05 Javascript
vue实现学生录入系统之添加删除功能
2018/07/11 Javascript
利用js将ajax获取到的后台数据动态加载至网页中的方法
2018/08/08 Javascript
koa源码中promise的解读
2018/11/13 Javascript
微信小程序生成分享海报方法(附带二维码生成)
2019/03/29 Javascript
[01:30:55]VG vs Mineski Supermajor 败者组 BO3 第三场 6.6
2018/06/07 DOTA
Android模拟器无法启动,报错:Cannot set up guest memory ‘android_arm’ Invalid argument的解决方法
2016/07/01 Python
python使用opencv读取图片的实例
2017/08/17 Python
Python之ReportLab绘制条形码和二维码的实例
2018/01/15 Python
Python3利用Dlib实现摄像头实时人脸检测和平铺显示示例
2019/02/21 Python
Django 反向生成url实例详解
2019/07/30 Python
tensorflow之自定义神经网络层实例
2020/02/07 Python
css3.0新属性效果在ie下的解决方案
2010/05/10 HTML / CSS
2014年两会学习心得体会
2014/03/10 职场文书
《鲁班和橹板》教学反思
2014/04/27 职场文书
法律专业大学生职业生涯规划书:向目标一步步迈进
2014/09/22 职场文书
教师批评与自我批评总结
2014/10/16 职场文书
2014年社区工作总结
2014/11/18 职场文书
2016年寒假学习心得体会
2015/10/09 职场文书
中国梦党课学习心得体会
2016/01/05 职场文书
Python数据分析入门之数据读取与存储
2021/05/13 Python
总结Java对象被序列化的两种方法
2021/06/30 Java/Android
tomcat的catalina.out日志按自定义时间格式进行分割的操作方法
2022/04/02 Servers
Android开发EditText禁止输入监听及InputFilter字符过滤
2022/06/10 Java/Android