package-lock.json
由来及作用
npm install的时候会去判断有无package-lock.json文件
1.如果没有,获取package.json中的包依赖信息,构建依赖树,检查缓存npm config get cache查看缓存目录;如果缓存有,则从缓存直接解压到node_modules目录下,没有则下载npm包资源将其添加到缓存,然后解压到node_modules下,并生成package-lock.json文件。
2.如果有(npm v5.4.2以上),当package.json声明的包依赖版本规范与package-lock.json安装版本兼容,则根据package-lock.json安装;如果版本不兼容,则按照package.json指定的版本安装,并更新package-lock.json。
构建依赖树规则(包安装目录规则)
构建扁平化的依赖树,即所有的包依赖都优先将其安装在node_modules目录下,只有当发现模块内依赖的版本和node-modules根目录的版本不兼容,才会在模块内的node_modules中安装。
包加载规则
1.路径加载,根据路径找到路径目录下的package.json文件,找到main属性,main属性即指定了入口文件;如果没有main属性,则默认为入口文件为index.js文件。
2.包名加载,检测是否为node核心模块,是则直接从node中加载;否则根据报名块优先从项目根目录下的node_modules中加载,如果没有依次向上级目录的node_modules中查找加载。
为什么要package-lock.json文件
1.package-lock.json文件的作用是锁定依赖安装结构,保证在任意极其上执行npm install都会得到完全相同的node_modules安装结果
单一的package.json文件不能确定唯一依赖树吗?
1.不同版本的npm安装依赖策略和算法不一致
2.npm install会根据package.json中的语义化版本更新依赖,而一些依赖可能发布了新版本
package-lock.json结构
1.version:具体的版本号,而非语义化的版本
2.resolved:依赖包安装地址
3.integrity:表明完整性哈希值
4.dev:是否为项目的开发依赖
5.requires:当前依赖包所需要的的所有依赖项,对应依赖包的package.json中dependencies中的依赖项
6.dependencies:只有当依赖包依赖项的版本和当前项目node_modules中的依赖冲突的时候,才会有这个属性
dependencies和devDependencies
dependencies:项目运行依赖,会一起被打包到线上环境中
devDependencies:开发依赖,只是在开发环境中需要,协助开发或者测试,而不会被打包到线上环境
但是:dependencies中的模块并不是一定会被打包,devDependencies并不一定不会被打包。依赖是否被打包是取决在代码中是否有被引入,它们更多的是作为一个规范
