摘要:內容結構是中列出的每個依賴項的大型列表,應安裝的特定版本,模塊的位置,驗證模塊完整性的哈希,它需要的包列表,以及依賴項列表。期望與真實行為之間的這種沖突在中引發了一個非常有趣的問題線索。此更改是作為的一部分發布的,該版本于年月日上線。
想閱讀更多優質文章請猛戳GitHub博客,一年百來篇優質文章等著你!
簡介如果你已經將節點包管理(npm)更新到版本5.x.x,看起來一切似乎都很順利。等等,這是什么?用 npm 初始化項目的會自動創建了一個新文件 package-lock.json。如果打開它,它看起來有點像 package.json 的依賴項,但更冗長。我們決定忽略它,繼續開發項目。最終,我們有時會遇到依賴項的問題,找不到,或者安裝了錯誤的版本。大多數人最終都會刪package-lock.json和運行“npm install”。那么,為什么要有它呢? 它應該做什么? 它實際上是做什么的?
總結如果你使用的 npm 版本 為 ^5.x.x , package-lock.json 會默認自動生成
你應該使用 package-lock 來確保一致的安裝和兼容的依賴關系
你應該將 package-lock 提交到源代碼控制
從npm ^ 5.1.x開始,package.json能夠勝過 package-lock.json,所以你遇到較少讓人頭痛的問題
不再刪除 package-lock 只是為了運行npm install并重新生成它
背景 語義版本控制在你了解 package-lock 甚至 package.jso n之前,你必須了解語義版本控制(semver)。 這是npm背后的天才,是什么使它更成功。 你可以在 此處 閱讀有關npm如何使用它的更多信息。簡而言之,如果你正在構建與其他應用程序接口的應用程序,你應該告知你所做的更改將如何影響第三方與你的應用程序交互的能力。這是通過語義版本控制完成的,版本由三部分組成:X,Y,Z,分別是主要版本,次要版本和補丁版本。
例如:1.2.3,主要版本1,次要版本2,補丁3。
補丁中的更改表示不會破壞任何內容的錯誤修復。 次要版本的更改表示不會破壞任何內容的新功能。 主要版本的更改代表了一個破壞兼容性的大變化。 如果用戶不適應主要版本更改,則內容將無法正常工作。
管理包npm 存在使管理包變得容易。你的項目可能有數百個依賴項,每個依賴項都有一百個,為了讓你的注意力遠離依賴地獄,通過 npm 管理,使用一些簡單的命令,你可以安裝和管理這些依賴關系,幾乎不必考慮它們。
當您使用npm安裝包(并保存它)時,會在 package.json 中添加一個包含包名稱和應該使用的 semver的條目。默認情況下,npm 安裝最新版本,并預先插入版本號,例如 “^1.2.12”,這表示至少應該使用版本 1.2.12,但任何高于此版本的版本都可以,只要它具有相同的主要版本,由于次要版本和補丁編號僅代表錯誤修正和非破壞性添加, 你可以安全地使用任何更高版本的同一主要版本。閱讀更多關于semver通配符的信息,請看 這里。
共享項目在 package.json 中定義這樣的依賴項的真正好處是,任何有權訪問 package.json 的人都可以創建一個包含運行應用程序所需模塊的依賴項文件夾,但是讓我們來看看事情可能出錯的具體方式。
假設我們創建了一個將使用 express 的新項目。 運行npm init后,我們安裝express:npm install express - save。在編寫代碼時,最新的版本是4.15.4,所以 “express”:“^ 4.15.4”作為我的package.json中的依賴項添加,并且我的電腦安裝了確切的版本。
現在也許明天,express 的維護者會發布 bug 修復,因此最新版本變為4.15.5。 然后,如果有人想要為我的項目做貢獻,他們會克隆它,然后運行`npm install。"因為4.15.5是具有相同主要版本的更高版本,所以為它們安裝。 我們都安裝 express ,但我們卻是不同的版本。
從理論上講,它們應該仍然是兼容的,但也許bugfix會影響我們正在使用的功能,而且當使用Express版本4.15.4和4.15.5運行時,我們的應用程序會產生不同的結果。
Package-lock 目的package-lock.json 的目的是避免上述情況,其中從同一 package.json 安裝模塊會導致兩種不同的安裝。 在 npm 版本 5.x.x 中添加了 package-lock.json,因此如果你使用的是主要版本 5 或更高版本,除非您禁用它,否則它會自動生成。
內容結構package-lock 是 package.json 中列出的每個依賴項的大型列表,應安裝的特定版本,模塊的位置(URI),驗證模塊完整性的哈希,它需要的包列表 ,以及依賴項列表。 讓我們來看看 express 的列表是什么:
"express": { "version": "4.15.4", "resolved": "https://registry.npmjs.org/express/-/express-4.15.4.tgz", "integrity": "sha1-Ay4iU0ic+PzgJma+yj0R7XotrtE=", "requires": { "accepts": "1.3.3", "array-flatten": "1.1.1", "content-disposition": "0.5.2", "content-type": "1.0.2", "cookie": "0.3.1", "cookie-signature": "1.0.6", "debug": "2.6.8", "depd": "1.1.1", "encodeurl": "1.0.1", "escape-html": "1.0.3", "etag": "1.8.0", "finalhandler": "1.0.4", "fresh": "0.5.0", "merge-descriptors": "1.0.1", "methods": "1.1.2", "on-finished": "2.3.0", "parseurl": "1.3.1", "path-to-regexp": "0.1.7", "proxy-addr": "1.1.5", "qs": "6.5.0", "range-parser": "1.2.0", "send": "0.15.4", "serve-static": "1.12.4", "setprototypeof": "1.0.3", "statuses": "1.3.1", "type-is": "1.6.15", "utils-merge": "1.0.0", "vary": "1.1.1" } },
可以在“requires”部分中列出的每個包中找到等效條目。
npm(^5.x.x.x)后的做法,npm 使用package-lock.json,而不是使用 package.json 來解析和安裝模塊。因為 package-lock 為每個模塊及其每個依賴項指定了版本,位置和完整性哈希,所以它每次創建的安裝都是相同的。 無論你使用什么設備,或者將來安裝它都無關緊要,每次都應該給你相同的結果,這非常有用。
爭議因此,如果引用 package-lock 是希望解決一個常見問題,為什么它的頂級搜索結果(除了npm文檔)都是關于禁用它或質疑它扮演的角色?
在npm 5.x.x之前,package.json 是項目的真實來源,npm 用戶喜歡這個模型,并且非常習慣于維護他們的包文件。 但是,當首次引入 package-lock 時,它的行為與有多少人預期的相反。 給定一個預先存在的包和package-lock,對package.json的更改(許多用戶認為是真實的來源)沒有同步到package-lock 中。
示例:包A,版本 1.0.0 在 package.json 和 package.lock.json 中。 在package.json中,A被手動編輯為1.1.0版。 如果認為 package.json 是真實來源的用戶運行 npm install,他們會期望安裝 1.1.0版。 但是,安裝了1.0.0版,即使列出的 v1.1.0 是 package.json, 他們也希望安裝是 1.0.0版。
示例: package-lock.json 中不存在模塊,但它存在于 package.json 中,作為一個將package.json 視為真實來源的用戶,我希望能夠安裝我的模塊。 但是,由于 package-lock.json 不存在該模塊,因此未安裝該模塊,并且我的代碼因無法找到模塊而失敗。
大部分時間,因為我們無法弄清楚為什么我們的依賴關系沒有被正確安裝,要么刪除了package-lock.json 并重新安裝,要么完全禁用 package-lock.json 來解決問題。
期望與真實行為之間的這種沖突在 npm repo中引發了一個非常有趣的問題線索。 有些人認為package.json 應該是事實的來源,有些人認為,因為 package-lock 是 npm 用來創建安裝的東西,所以應該被認為是事實的來源。 這場爭議的解決方案在于 PR#17508。 如果 package.json 已更新,Npm 維護者添加了一個更改,導致package.json 覆蓋 package-lock。 現在,在上述兩種情況下,都會正確安裝用戶期望安裝的軟件包。 此更改是作為npm v5.1.0的一部分發布的,該版本于2017年7月5日上線。
你的點贊是我持續分享好東西的動力,歡迎點贊!
歡迎加入前端大家庭,里面會經常分享一些技術資源。文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/53398.html
摘要:背景個人背景就讀于東北某普通二本院校計算機軟件工程專業,現大四,北京實習前端方向,自學,技術棧時間背景大概是在月日準備好簡歷開始投遞秋招差不多已經結束招聘崗位不多,投遞對象為大一些的互聯網公司事件背景第一個入職的是好未來的前端實習崗,待遇工 背景 個人背景 就讀于東北某普通二本院校計算機軟件工程專業,現大四,北京實習 前端方向,自學,vue技術棧 時間背景 大概是在11月9日準備...
摘要:背景個人背景就讀于東北某普通二本院校計算機軟件工程專業,現大四,北京實習前端方向,自學,技術棧時間背景大概是在月日準備好簡歷開始投遞秋招差不多已經結束招聘崗位不多,投遞對象為大一些的互聯網公司事件背景第一個入職的是好未來的前端實習崗,待遇工 背景 個人背景 就讀于東北某普通二本院校計算機軟件工程專業,現大四,北京實習 前端方向,自學,vue技術棧 時間背景 大概是在11月9日準備...
摘要:終于,我在看到美團的社招信息后,勇敢地邁出了第一步。當時參加的是美團點評部門的面試,部門前端技術棧是,后端用的。后來才知道美團是一次性全部面完的。所以以后有去參加美團面試的童鞋,最好做好面試四個小時的打算。 showImg(https://segmentfault.com/img/bV0c3T?w=672&h=361); 前言 我叫王小閏(花名),非科班出身,野生前端從業者,在小公司打...
摘要:終于,我在看到美團的社招信息后,勇敢地邁出了第一步。當時參加的是美團點評部門的面試,部門前端技術棧是,后端用的。后來才知道美團是一次性全部面完的。所以以后有去參加美團面試的童鞋,最好做好面試四個小時的打算。 showImg(https://segmentfault.com/img/bV0c3T?w=672&h=361); 前言 我叫王小閏(花名),非科班出身,野生前端從業者,在小公司打...
閱讀 2632·2021-11-19 09:56
閱讀 879·2021-09-24 10:25
閱讀 1648·2021-09-09 09:34
閱讀 2204·2021-09-09 09:33
閱讀 1062·2019-08-30 15:54
閱讀 549·2019-08-29 18:33
閱讀 1272·2019-08-29 17:19
閱讀 511·2019-08-29 14:19