npm的lock機制解析

npm是什么

網(wǎng)站建設哪家好,找創(chuàng)新互聯(lián)!專注于網(wǎng)頁設計、網(wǎng)站建設、微信開發(fā)、微信小程序開發(fā)、集團企業(yè)網(wǎng)站建設等服務項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了龍南免費建站歡迎大家使用!

npm是一個包管理工具,開源作者可以把開源包發(fā)布在平臺上供其他人下載使用。前端的同學基本都使用過npm,這里就不做過多介紹。日常工作中npm的主要用途就是根據(jù)項目的package.json使用npm install去安裝依賴。

npm install可以說是我們使用最頻繁的一個指令。在npm5版本之前,npm install會根據(jù)package.json指定的依賴版本去進行安裝。但往往package.json中指定的是一個版本范圍,例如:

"dependencies": {
  "packageA": "^2.0.0"
},

以上這個 ^2.0.0 指定的范圍是版本號大于等于2.0.0且大版本號為2。即2.6.10這個是符合的,而3.0.0和1.0.0這種是不符合的。
這樣的范圍指定會導致一個問題:A新建了一個項目,生成了上面這份package.json文件,但A安裝依賴的時間比較早,此時packageA的最新版本是2.1.0,該版本與代碼兼容,沒有出現(xiàn)bug。后來B克隆了A的項目,在安裝依賴時packageA的最新版本是2.2.0,那么根據(jù)語義npm會去安裝2.2.0的版本,但2.2.0版本的API可能發(fā)生了改動,導致代碼出現(xiàn)bug。

這就是package.json會帶來的問題,同一份package.json在不同的時間和環(huán)境下安裝會產(chǎn)生不同的結果。

理論上這個問題是不應該出現(xiàn)的,因為npm作為開源世界的一部分,也遵循一個發(fā)布原則:相同大版本號下的新版本應該兼容舊版本。即2.1.0升級到2.2.0時API不應該發(fā)生變化。

但很多開源庫的開發(fā)者并沒有嚴格遵守這個發(fā)布原則,導致了上面的這個問題。

lock機制

一個新的事物的誕生都是為了解決一個歷史問題

基于這種狀況,npm5推出了lock機制。在使用npm5.0.0之后的版本時,npm install后會自動生成package-lock.json文件,該文件記錄了當前這次install所安裝的依賴版本號。

例如當package.json的依賴如下:

"dependencies": {
  "vue": "^2.0.0"
 },

install后自動生成的package-lock.json會指定安裝vue2.6.10版本(當前最新)

"dependencies": {
  "vue": {
   "version": "2.6.10",
   "resolved": "https://registry.npm.taobao.org/vue/download/vue-2.6.10.tgz",
   "integrity": "sha1-pysaQqTYKnIepDjRtr9V5mGVxjc="
  }
 }

package-lock.json相當于本次install的一個快照,它不僅記錄了package.json指明的直接依賴的版本,也記錄了間接依賴的版本。

如果我們想在不同環(huán)境和不同時間下每次install時安裝相同版本的依賴,我們就可以把package-lock.json帶上。

當package.json和package-lock.json同時存在時,npm install會去檢測package-lock.json指定的依賴版本是否在package.json指定的范圍內。如果在,則安裝package-lock.json指定的版本。如果不在,則忽略package-lock.json,并且用安裝的新版本號覆蓋package-lock.json。

舉個例子:

// package.json
"dependencies": {
  "vue": "^2.0.0"
 }

// package-lock.json
"dependencies": {
  "vue": {
   "version": "2.1.0",
   "resolved": "https://registry.npm.taobao.org/vue/download/vue-2.1.0.tgz",
   "integrity": "sha1-KTuj76rKhGqmvL+sRc+FJMxZfj0="
  }
 }

這種情況下package-lock.json指定的2.1.0在^2.0.0指定的范圍內,npm install會安裝vue2.1.0版本。

// package.json
"dependencies": {
  "vue": "^2.2.0"
 }

// package-lock.json
"dependencies": {
  "vue": {
   "version": "2.1.0",
   "resolved": "https://registry.npm.taobao.org/vue/download/vue-2.1.0.tgz",
   "integrity": "sha1-KTuj76rKhGqmvL+sRc+FJMxZfj0="
  }
 }

這種情況下package-lock.json指定的2.1.0不在^2.2.0指定的范圍內,npm install會按照^2.2.0的規(guī)則去安裝最新的2.6.10版本,并且將package-lock.json的版本更新為2.6.10。

值得注意的是npm5一發(fā)布時并不是采取這種install邏輯,在npm5.0到npm5.6之間install的邏輯發(fā)生了多次變更,而在npm5.6之后一直沿用當前這種邏輯。

npm ci

npm5之后的lock機制滿足了要求鎖版本的開發(fā)者們的需要,我們只需要拿到一份package-lock.json就可以知道要安裝的依賴的具體版本號。但細心的同學會發(fā)現(xiàn)當package-lock.json指定的版本號不在package.json指定的范圍內時,package-lock.json就會被更新覆蓋。這可不利于我們去維持版本的固定。

因此后續(xù)npm也推出了npm ci的指令來解決這一問題,npm ci和npm i的不同之處在于:當package-lock.json指定的依賴版本不在package.json指定的依賴版本范圍內時,npm會報錯并取消安裝。

npm的lock機制解析

這樣我們就不怕在package-lock和package.json不一致時發(fā)生覆蓋更新。

總結

在npm5.6以后我們就可以放心大膽地使用package-lock.json文件來鎖版本,而在構建部署時可以使用npm ci安裝命令來防止npm install的覆蓋更新問題。

以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持創(chuàng)新互聯(lián)。

分享標題:npm的lock機制解析
文章轉載:http://muchs.cn/article34/iidcse.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供響應式網(wǎng)站、商城網(wǎng)站、網(wǎng)站策劃、外貿建站、全網(wǎng)營銷推廣、動態(tài)網(wǎng)站

廣告

聲明:本網(wǎng)站發(fā)布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經(jīng)允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯(lián)

網(wǎng)站托管運營