Node.js使用npm对包进行管理,全称为Node Package Manager,开发人员可以使用它安装、更新或者卸载Node.js模块。
npm在2020年3月17日被Github收购,而且保证永久免费。在npm仓库中有超过130万个软件包,这是npm成为世界上最大的单一语言代码仓库,并且它几乎有可用于一切的软件包。
package.json文件
在任意空白文件夹下执行npm init -y可以得到如下的package.json文件
{
"name": "bach_private_cache",
"version": "1.0.0",
"description": "",
"main": "index.js",
"scripts": {
"test": "echo "Error: no test specified" && exit 1"
},
"keywords": [],
"author": "",
"license": "ISC"
}
对于Node.js程序,package.json文件中的内容没有固定要求,唯一的要求是必须遵守JSON格式,否则,代码访问可能不能按预期访问该文件。
package.json文件中的属性含义
json文件中是不支持注释的,以下只是为了方便映射阅读
"name": "packageName",//应用程序或者软件包的名称。名称必须少于214个字符,且不能包含空格,只能含小写字母,连字符或下划线
"version": "1.0.0",// 当前版本,该属性遵循语义版本控制法,始终以三个数字(x.x.x)表示版本号,第一个数字表示主版本号,第二个数字表示次版本号,第三个数字表示修订号。
"description": "",// 应用程序/软件包的简短描述。如果要将软件包发布到npm,该属性将告知使用这软件包的具体作用
"main": "index.js",// 设置应用程序的入口文件,通常是index.js
"scripts": {// 定义一组可以运行的Node.js脚本
"test": "echo \"Error: no test specified\" && exit 1",
"dev": "webpack",
"start": "cross-env NODE_ENV=development webpack serve",
"build": "cross-env NODE_ENV=production MY_ENV=pro webpack ",
"debug": "node --inspect-brk=5858 ./node_modules/webpack/bin/webpack"
},
"keywords": [],// 关键字数组,用于npm搜索,包含与软件包功能相关的关键字数组
"author": "",//软件包的作者
"license": "ISC",//软件包的许可证
"sideEffects": [// 告知webpack哪些文件是有副作用的,让webpack在做tree sharking的时候不要删除
"./polyfill.js"
],
"contributors": [],//项目的贡献者
"bugs":"",//链接到软件包的问题跟踪器,最常用的是Github的issue页面
"homepage": "",//设置软件包的主页
"repository": "",//指定程序包仓库所在位置
"private":"false",//软件包是否是私有,如果设置为true,可以防止应用程序/软件包被意外发布到npm上
"dependencies": {//设置作为依赖安装的npm软件包的列表
"core-js": "^3.36.1",
"css-loader": "^6.10.0",
"css-minimizer-webpack-plugin": "^6.0.0",
},
"devDependencies": {//开发依赖的软件包,它们无须在生产环境使用
"@babel/cli": "^7.24.1",
},
"engines": "18.12.1",// 软件包所支持的Node.js版本
"browserlist":"",//用于告知要支持哪些浏览器及版本
package-lock.json文件
在npm5以上的版本中,引入了package-lock.json文件,该文件旨在跟踪被安装的每个软件包的确切版本,以便产品可以以相同的方式被100%复制。
举个例子 package.json文件中有如下属性:
"@babel/core": "^7.24.3""
版本号可以有三种表示方式
- ~7.24.3: 只更新补丁版本,即7.24.4可以,7.25.0不行
- ^7.24.3: 要更新补丁版本和次版本,即7.24.4可以,7.25.0也行
- 7.24.3: 始终使用确切的版本
当使用npm install命令在另一台机器上复制项目是,如果指定了~语法并且软件包发布了补丁版本,则该补丁版本会被安装,^语法中的此版本亦然。
如果多人在不同的时间获取同一个项目,使用npm install安装时,有可能安装的依赖包版本不同,这样可能会给程序带来不可预知的错误。而通过使用package-lock.json文件,可以固化当前安装的每个软件包的版本,当运行npm install时,npm会使用这些确切的版本,确保每个人在任何时间安装的版本都是一致的,避免package.json文件无法解决的版本不同问题。
如下package-lock文件中的片段代码
"@babel/core": {
"version": "7.24.3",
"resolved": "https://registry.npmjs.org/@babel/core/-/core-7.24.3.tgz",
"integrity": "sha512-5FcvN1JHw2sHJChotgx8Ek0lyuh4kCKelgMTTqhYJJtloNvUfpAFMeNQUtdlIaktwrSV9LtCdqwk48wL2wBacQ==",
"dev": true,
"requires": {
"@ampproject/remapping": "^2.2.0",
"@babel/code-frame": "^7.24.2",
"@babel/generator": "^7.24.1",
"@babel/helper-compilation-targets": "^7.23.6",
"@babel/helper-module-transforms": "^7.23.3",
"@babel/helpers": "^7.24.1",
"@babel/parser": "^7.24.1",
"@babel/template": "^7.24.0",
"@babel/traverse": "^7.24.1",
"@babel/types": "^7.24.0",
"convert-source-map": "^2.0.0",
"debug": "^4.1.0",
"gensync": "^1.0.0-beta.2",
"json5": "^2.2.3",
"semver": "^6.3.1"
},
"dependencies": {
"semver": {
"version": "6.3.1",
"resolved": "https://registry.npmjs.org/semver/-/semver-6.3.1.tgz",
"integrity": "sha512-BR7VvDCVHO+q2xBEWskxS6DJE1qRnb7DxzUrogb71CWoSficBxYsiAGd+Kl0mmq/MprG9yArRkyrQxTO6XjMzA==",
"dev": true
}
}
},
上面的代码中,由于在package-lock.json文件中使用了检验软件包的integrity散列值,这样就可以保证所有人在任何时间安装的依赖包的版本都是一致的。
注:
package-lock.json文件是需要将其提交到git仓库的,他人下载后,在运行npm install时,package-lock.json文件中的依赖版本也会跟着更新。
