本文介绍了package-lock.json文件的产生原因和生成方式,它可确保依赖库包安装一致。还阐述了package.json与package-lock.json的关系,前者变化时后者自动生成。此外,分析了不同npm命令和修改package.json包版本对包安装版本的影响。
一、package-lock.json文件
1.1 产生原因
-
package.json文件下载到的依赖包可能在不同的情况下,各库包的版本语义可能并不相同。
如不同机器下载到的同一版本的包,因为来自不同来源或同一来源但语义变了,导致包内容不一致。
或有的库包开发者并不严格遵守下面这条原则:相同大版本号的同一个库包,其接口符合兼容要求。 -
在不同时间或者不同npm下载源之下,下载的各依赖包版本可能有所不同,因此其依赖库包行为特征也不同,有时候甚至完全不兼容。
1.2 生成方式
npm5开始提供自动生成package-lock.json文件的功能。
为的是让开发者知道只要你保存了源文件,到一个新的机器上、或者新的下载源,只要按照这个package-lock.json文件所标识的具体版本下载依赖库包,就能确保所有库包与上次的安装完全一样。
二、package.json与package-lock.json两个文件之间的关系
package-lock.json是当 node_modules 或 package.json 发生变化时自动生成的文件。
这个文件主要功能是确定当前安装的包的依赖,以便后续重新安装的时候生成相同的依赖,而忽略项目开发过程中有些依赖已经发生的更新。
使用npm 命令执行后产生的package-lock.json文件:其中显示当前各npm包锁定的版本。
"@ss/mtd-vue": {
"version": "0.1.21",
"resolved": "http://r.npm.sankuai.com/@ss/mtd-vue/download/@ss/mtd-vue-0.1.21.tgz",
"integrity": "sha1-POnWVhPyUMbN1riSKgbiD0xHDb0=",
"requires": {
"deepmerge": "^2.1.1",
"normalize-wheel": "^1.0.1",
"popper.js": "^1.14.3",
"resize-observer-polyfill": "^1.5.0",
"throttle-debounce": "^1.0.1"
},
"dependencies": {
"deepmerge": {
"version": "2.2.1",
"resolved": "http://r.npm.sankuai.com/deepmerge/download/deepmerge-2.2.1.tgz",
"integrity": "sha1-XT/yKgHAD2RUBaL7wX0HeKGAEXA="
}
}
}
三、影响包版本
前提:npm.version >= 5 .
3.1 执行 npm install vue ,
若package.json中有包定义(vue: 2.5.23),安装如下:
package.json — 版本值为:"^定义的版本号",如" ^2.5.23"
package-lock.json — 定义的版本,2.5.23
node_moudle — 安装2.5.23
若package.json中无包定义(vue最新版本是 2.6.10),且安装如下:
package.json — 最新版本的大版本,版本值为:"^最新版本号",如" ^2.6.10"
package-lock.json — 最新版本,2.6.10
node_moudle — 安装2.6.10
3.2 执行 npm install vue@2.6.9 ,
无论package.json中是否有包定义,安装如下:
package.json — 版本值为:“指定的版本号”,如" 2.6.9"
package-lock.json — 指定的版本,2.6.9
node_moudle — 安装2.6.9
3.3 修改 package.json 包版本(由^2.5.23改为 ^2.6.10),
执行 npm install 后,会按照修改后的包版本安装,并更新package-lock.json内容。此时:
package.json — 版本值为:"^2.6.10"
package-lock.json — 固定的版本,2.6.10
node_moudle — 安装2.6.10
扫一扫
1138
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
