将 NPM 更新到版本 5 后,我找到package-lock.json
了带有 package.json 的文件。
这两个文件有什么区别?
有什么优点package-lock.json
?
将 NPM 更新到版本 5 后,我找到package-lock.json
了带有 package.json 的文件。
这两个文件有什么区别?
有什么优点package-lock.json
?
package.json 文件:列出你的项目所依赖的包。允许您使用语义版本控制规则指定项目可以使用的包的版本。
根据 npm 文档,
package-lock.json 会为 npm 修改 node_modules 树或 package.json 的任何操作自动生成。它描述了生成的确切树,以便后续安装能够生成相同的树,而不管中间依赖项更新如何。
该文件旨在提交到源存储库中,并用于各种目的:
描述依赖关系树的单一表示,以保证团队成员、部署和持续集成安装完全相同的依赖关系。
为用户提供“时间旅行”到 node_modules 先前状态的工具,而无需提交目录本身。
通过可读的源代码控制差异来促进对树更改的更大可见性。
基本上 package-lock.json 用于通过允许 npm 跳过以前安装的包的重复元数据解析来优化安装过程。
在 npm 5.xx 之前,package.json 是项目的真实来源。package.json 中的内容是法律。npm 用户喜欢这个模型,并且非常习惯于维护他们的包文件。然而,当首次引入 package-lock 时,它的行为与许多人的预期相反。给定一个预先存在的包和包锁,对 package.json 的更改(许多用户认为是事实的来源)没有反映在包锁中。
示例:包 A,版本 1.0.0 在包和包锁中。在 package.json 中,A 被手动编辑为 1.1.0 版本。如果认为 package.json 是事实来源的用户运行npm install
,他们会期望安装 1.1.0 版本。但是,安装了 1.0.0 版本,尽管列出的 v1.1.0 是 package.json。
示例:package-lock 中不存在模块,但 package.json 中存在模块。作为一个将 package.json 视为事实来源的用户,我希望我的模块能够被安装。但是,由于该模块不存在于 package-lock 中,因此没有安装它,并且我的代码由于找不到该模块而失败。
在官方 npm 文档中阅读有关 package-lock.json 的更多信息!