package和package-lock

package.json: 主要用来定义项目中需要依赖的包

package-lock.json： 在 npm install时候生成一份文件，用以记录当前状态下实际安装的各个npm package的具体来源和版本号。

'^' : 放在版本号之前，表示向后兼容依赖，说白了就是在大版本号不变的情况下，下载最新版的包

项目中引入的包版本号之前经常会加^号，每次在执行npm install之后，下载的包都会发生变化，为了系统的稳定性考虑，每次执行完npm install之后会对应生成package-lock文件，该文件记录了上一次安装的具体的版本号，相当于是提供了一个参考，在出现版本兼容性问题的时候，就可以参考这个文件来修改版本号即可。

dependencies和devDependencies

一个node package有两种依赖，一种是dependencies一种是devDependencies，其中前者依赖的项该是正常运行该包时所需要的依赖项，而后者则是开发的时候需要的依赖项，像一些进行单元测试之类的包。

如果你将包下载下来在包的根目录里运行

npm install 
//默认会安装两种依赖，如果你只是单纯的使用这个包而不需要进行一些改动测试之类的，可以使用

npm install --production
//只安装dependencies而不安装devDependencies。

如果你是通过以下命令进行安装

npm install packagename
//那么只会安装dependencies，如果想要安装devDependencies，需要输入

npm install packagename --dev  

devDependencies ： 用于本地环境开发时候。
dependencies ： 用户发布环境

devDependencies是只会在开发环境下依赖的模块，生产环境不会被打入包内。通过NODE_ENV=developement或NODE_ENV=production指定开发还是生产环境。
而dependencies依赖的包不仅开发环境能使用，生产环境也能使用。其实这句话是重点，按照这个观念很容易决定安装模块时是使用--save还是--save-dev。