npm的lock机制解析

npm是什么

npm是一个包管理工具,开源作者可以把开源包发布在平台上供其他人下载使用。前端的同学基本都使用过npm,这里就不做过多介绍。日常工作中npm的主要用途就是根据项目的package.json使用npm install去安装依赖。

npm install可以说是我们使用最频繁的一个指令。在npm5版本之前,npm install会根据package.json指定的依赖版本去进行安装。但往往package.json中指定的是一个版本范围,例如:

"dependencies": {
  "packageA": "^2.0.0"
},

以上这个 ^2.0.0 指定的范围是版本号大于等于2.0.0且大版本号为2。即2.6.10这个是符合的,而3.0.0和1.0.0这种是不符合的。
这样的范围指定会导致一个问题:A新建了一个项目,生成了上面这份package.json文件,但A安装依赖的时间比较早,此时packageA的最新版本是2.1.0,该版本与代码兼容,没有出现bug。后来B克隆了A的项目,在安装依赖时packageA的最新版本是2.2.0,那么根据语义npm会去安装2.2.0的版本,但2.2.0版本的API可能发生了改动,导致代码出现bug。

这就是package.json会带来的问题,同一份package.json在不同的时间和环境下安装会产生不同的结果。

理论上这个问题是不应该出现的,因为npm作为开源世界的一部分,也遵循一个发布原则:相同大版本号下的新版本应该兼容旧版本。即2.1.0升级到2.2.0时API不应该发生变化。

但很多开源库的开发者并没有严格遵守这个发布原则,导致了上面的这个问题。

lock机制

一个新的事物的诞生都是为了解决一个历史问题

基于这种状况,npm5推出了lock机制。在使用npm5.0.0之后的版本时,npm install后会自动生成package-lock.json文件,该文件记录了当前这次install所安装的依赖版本号。

例如当package.json的依赖如下:

"dependencies": {
  "vue": "^2.0.0"
 },

install后自动生成的package-lock.json会指定安装vue2.6.10版本(当前最新)

"dependencies": {
  "vue": {
   "version": "2.6.10",
   "resolved": "https://registry.npm.taobao.org/vue/download/vue-2.6.10.tgz",
   "integrity": "sha1-pysaQqTYKnIepDjRtr9V5mGVxjc="
  }
 }

package-lock.json相当于本次install的一个快照,它不仅记录了package.json指明的直接依赖的版本,也记录了间接依赖的版本。

如果我们想在不同环境和不同时间下每次install时安装相同版本的依赖,我们就可以把package-lock.json带上。

当package.json和package-lock.json同时存在时,npm install会去检测package-lock.json指定的依赖版本是否在package.json指定的范围内。如果在,则安装package-lock.json指定的版本。如果不在,则忽略package-lock.json,并且用安装的新版本号覆盖package-lock.json。

举个例子:

// package.json
"dependencies": {
  "vue": "^2.0.0"
 }

// package-lock.json
"dependencies": {
  "vue": {
   "version": "2.1.0",
   "resolved": "https://registry.npm.taobao.org/vue/download/vue-2.1.0.tgz",
   "integrity": "sha1-KTuj76rKhGqmvL+sRc+FJMxZfj0="
  }
 }

这种情况下package-lock.json指定的2.1.0在^2.0.0指定的范围内,npm install会安装vue2.1.0版本。

// package.json
"dependencies": {
  "vue": "^2.2.0"
 }

// package-lock.json
"dependencies": {
  "vue": {
   "version": "2.1.0",
   "resolved": "https://registry.npm.taobao.org/vue/download/vue-2.1.0.tgz",
   "integrity": "sha1-KTuj76rKhGqmvL+sRc+FJMxZfj0="
  }
 }

这种情况下package-lock.json指定的2.1.0不在^2.2.0指定的范围内,npm install会按照^2.2.0的规则去安装最新的2.6.10版本,并且将package-lock.json的版本更新为2.6.10。

值得注意的是npm5一发布时并不是采取这种install逻辑,在npm5.0到npm5.6之间install的逻辑发生了多次变更,而在npm5.6之后一直沿用当前这种逻辑。

npm ci

npm5之后的lock机制满足了要求锁版本的开发者们的需要,我们只需要拿到一份package-lock.json就可以知道要安装的依赖的具体版本号。但细心的同学会发现当package-lock.json指定的版本号不在package.json指定的范围内时,package-lock.json就会被更新覆盖。这可不利于我们去维持版本的固定。

因此后续npm也推出了npm ci的指令来解决这一问题,npm ci和npm i的不同之处在于:当package-lock.json指定的依赖版本不在package.json指定的依赖版本范围内时,npm会报错并取消安装。

这样我们就不怕在package-lock和package.json不一致时发生覆盖更新。

总结

在npm5.6以后我们就可以放心大胆地使用package-lock.json文件来锁版本,而在构建部署时可以使用npm ci安装命令来防止npm install的覆盖更新问题。

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。

(0)

相关推荐

  • yarn与npm的命令行小结

    一.首先需要了解的命令 npm install === yarn -- install 安装是默认行为. npm install taco --save === yarn add taco -- taco 包立即被保存到 package.json 中. npm uninstall taco --save === yarn remove taco 在 npm 中,可以使用 npm config set save true 设置 - -save 为默认行为,但这对多数开发者而言并非显而易见的.在 y

  • node.js使用npm 安装插件时提示install Error: ENOENT报错的解决方法

    在使用npm install安装扩展插件时,系统提示"npm install Error: ENOENT, stat 'C:Users<用户名>AppDataRoamingnpm'". 以前都是很顺利的安装过程,没出现这种情况.我这里的解决办法是直接创建上面提示的目录就好了,应该是node.js权限不够,在此备注. 有时候就是这样,很可能一个很久都无法解决的问题,实际解决方法很简单,就是这么任性!!

  • Node.js中npm常用命令大全

    npm是什么 NPM的全称是Node Package Manager,是随同NodeJS一起安装的包管理和分发工具,它很方便让JavaScript开发者下载.安装.上传以及管理已经安装的包. npm install 安装模块 基础语法 npm install (with no args, in package dir) npm install [<@scope>/]<name> npm install [<@scope>/]<name>@<tag>

  • linux下安装nodejs及npm的方法

    1.下载npm包 官网下载npm安装包,https://nodejs.org/en/,左边是稳定版右边是最新版. 2.解压,创建链接 将压缩包解压到/opt(一般软件放在该目录)目录下.可以看到bin目录下有两个可执行文件node和npm,在/usr/local/bin中创建该文件的链接 sudo ln -s /opt/node-v0.12.10-linux-x86/bin/node /usr/local/bin/node sudo ln -s /opt/node-v0.12.10-linux

  • 卸载安装Node.js与npm过程详解

    下面记录一下在本地 Windwos 环境用 vagrant 搭建的虚拟机(Homestaead)和生产环境阿里云 CentOS 系统安装 Node.js 的步骤,以及 npm 安装依赖的不同之处. 使用源码编译的方式安装 node.js.首先将机子上的 Node.js 卸载,我直接贴上 Stack Overflow 上提供的步骤: 1.卸载 npm 和 Node.js 先卸载 npm,命令是:sudo npm uninstall npm -g,然后卸载 Node.js. Running whic

  • 关于Mac下安装nodejs、npm和cnpm的教程

    今天新配置了macbook-pro-所以之前的环境都要重新配置所以记录一下免得以后忘记了 首先是打开node官网 nodejs 然后你会看见如下图片 点击上面的任何一个都可以完成下载,下载完成之后找到文件,一路确定傻瓜式安装,到底然后就OK了. 下面来测试下是否安装成功: 打开Mac下的终端输入:node -v 会出现版本号就说明成功了: 这样就说明安装成功了,下面在终端输入npm -v 如果出来版本号如下图所示: 这样就大功告成了. 但是毕竟npm安装一些东西还是太慢了所以呢建议大家安装cnp

  • webstorm中配置nodejs环境及npm的实例

    --nodejs安装及环境配置 1.nodejs官网,下载windows平台nodejs环境安装包(.msi格式),安装 2.测试安装是否成功: cmd操作,进入node安装根目录下: node -v : npm -v 查看版本号 3.配置全局 在node的安装的根目录,也就是nodejs文件夹下新建两个名字为node_cache.node_global文件夹 设置环境变量:变量名:NODE_PATH 值:D:\Program Files\nodejs\node_global\node_modu

  • NodeJs安装npm包一直失败的解决方法

    最近在学React,在gitHub上下载一个项目下来,安装node.js后发现用npm install就一直报错,不知道怎么解决,查了很多资料 都没有用. 在windows下 cmd到命令窗口 (最好是管理员的身份运行),结果就如下图01 才开始学 不清楚什么错误,感觉和npm无关,查资料说是更改npm的安装源 可以使用npm config list 查看当前配置的状况,说可能是某些包被国内墙了 需要操作 npm config set strict-ssl false //关闭npm的https

  • npm的lock机制解析

    npm是什么 npm是一个包管理工具,开源作者可以把开源包发布在平台上供其他人下载使用.前端的同学基本都使用过npm,这里就不做过多介绍.日常工作中npm的主要用途就是根据项目的package.json使用npm install去安装依赖. npm install可以说是我们使用最频繁的一个指令.在npm5版本之前,npm install会根据package.json指定的依赖版本去进行安装.但往往package.json中指定的是一个版本范围,例如: "dependencies":

  • 关于C++为什么不加入垃圾回收机制解析

    Java的爱好者们经常批评C++中没有提供与Java类似的垃圾回收(Gabage Collector)机制(这很正常,正如C++的爱好者有时也攻击Java没有这个没有那个,或者这个不行那个不够好),导致C++中对动态存储的官吏称为程序员的噩梦,不是吗?你经常听到的是内存遗失(memory leak)和非法指针存取,这一定令你很头疼,而且你又不能抛弃指针带来的灵活性. 在本文中,我并不想揭露Java提供的垃圾回收机制的天生缺陷,而是指出了C++中引入垃圾回收的可行性.请读者注意,这里介绍的方法更多

  • C语言数据结构之vector底层实现机制解析

    目录 一.vector底层实现机制刨析 二.vector的核心框架接口的模拟实现 1.vector的迭代器实现 2.reserve()扩容 3.尾插尾删(push_back(),pop_back()) 4.对insert()插入时迭代器失效刨析 5.对erase()数据删除时迭代器失效刨析 一.vector底层实现机制刨析 通过分析 vector 容器的源代码不难发现,它就是使用 3 个迭代器(可以理解成指针)来表示的: 其中statrt指向vector 容器对象的起始字节位置: finish指

  • java中的类型自动转换机制解析

    目录 类型自动转换机制解析 概述 数据类型只会自动提升,不能自动降低 Java中整数默认的数据类型是int类型 自动类型转换&强制类型转换 什么时候会发生类型转换 类型转换分类 自动类型转换(隐式类型转换) 强制类型转换(显式类型转换) 类型自动转换机制解析 概述 自动类型转换也叫隐式类型转换 表达式的数据类型自动提升 所有的byte型.short型和char的值将被提升到int型. 如果一个操作数是long型,计算结果就是long型: 如果一个操作数是float型,计算结果就是float型:

  • Pytorch图像处理注意力机制解析及代码详解

    什么是注意力机制 注意力机制是一个非常有效的trick,注意力机制的实现方式有许多,我们一起来学习一下 注意力机制是深度学习常用的一个小技巧,它有多种多样的实现形式,尽管实现方式多样,但是每一种注意力机制的实现的核心都是类似的,就是注意力. 注意力机制的核心重点就是让网络关注到它更需要关注的地方. 当我们使用卷积神经网络去处理图片的时候,我们会更希望卷积神经网络去注意应该注意的地方,而不是什么都关注,我们不可能手动去调节需要注意的地方,这个时候,如何让卷积神经网络去自适应的注意重要的物体变得极为

  • java弱口令检测机制解析

    目录 java弱口令检测机制 1. 设计要求 2. 二级系统配置要求 3. 三级系统配置要求 4. java编码 5. 配置文件 java弱口令检测机制 1. 设计要求 应具备检测口令的长度和是否在指定字符集合内的能力. 应具备检测口令字符逻辑相邻的能力,如aBc,abC等. 应具备检测口令字符键盘物理位置相邻的能力,包括横向和左右斜线方向的相邻,如qwer 1qaz 0okm等. 应具备检测口令是否出现在弱口令库中的能力. 应具备检测口令中是否包含用户名(不区分大小写). 应具备相邻单字符多次

  • redis 过期策略及内存回收机制解析

    目录 1. 过期策略 1.1 过期的 key 集合 1.2 定时扫描策略 1.3 从库的过期策略 2. 懒惰删除 2.1 异步线程 2.2 flush 2.3 异步队列 2.4 AOF Sync很慢的问题 2.5 更多异步删除点 3. 过期淘汰配置 4. LRU 算法 4.1 近似 LRU 算法 5. LRU 5.1 LRU 模式 5.2 LFU 模式 redis作为缓存的场景下,内存淘汰策略决定的redis的内存使用效率.考虑到这个很多大厂给出的"送分题",但一般人很少能讲清楚,除非

  • HttpClient连接池及重试机制解析

    目录 一.HttpClient 简介 功能介绍 使用方法 二.HttpClientUtil 2.1HttpClient版本 2.2项目中用到的工具类如下 2.3笔者着重说一下http连接池 三.HttpClient的重试机制 3.1.那么问题来了HttpClient有没有重试策略? 3.2执行流程 3.3关闭重试 四.总结 4.1重试发生的条件 4.2不发生重试的异常 4.3实践中遇到的异常 一.HttpClient 简介 HttpClient 是Apache Jakarta Common 下的

  • 深入解析Java中的Classloader的运行机制

    java有两种类型的classload,一种是user-defined的,一种是jvm内置的bootstrap class loader,所有user-defined的class loader都是java.lang.ClassLoader的子类. 而jvm内置的class loader有3种,分别是 Bootstrap ClassLoader, Extension ClassLoader(即ExtClassLoader),System ClassLoader(即AppClassLoader).

  • Apache Hudi灵活的Payload机制硬核解析

    1.摘要 Apache Hudi 的Payload是一种可扩展的数据处理机制,通过不同的Payload我们可以实现复杂场景的定制化数据写入方式,大大增加了数据处理的灵活性.Hudi Payload在写入和读取Hudi表时对数据进行去重.过滤.合并等操作的工具类,通过使用参数 "hoodie.datasource.write.payload.class"指定我们需要使用的Payload class.本文我们会深入探讨Hudi Payload的机制和不同Payload的区别及使用场景. 2

随机推荐