前端工程化-包管理NPM-package.json 和 package-lock.json 详解

package.json 和 package-lock.json 详解

1.package.json

基本概念

package.json 是 Node.js 项目的核心配置文件,它定义了项目的基本信息、依赖项、脚本命令等。

主要字段

基本信息字段

makefile 复制代码
name: 项目名称(必填)

version: 项目版本(必填,遵循语义化版本规范)  版本号形如:X.Y.Z,有三部分组成,依次叫主版本号、次版本号、修订号;

description: 项目描述

author: 作者信息

license: 开源许可证

依赖管理字段

makefile 复制代码
dependencies: 生产环境依赖

devDependencies: 开发环境依赖

peerDependencies: 同伴依赖

optionalDependencies: 可选依赖

脚本字段

arduino 复制代码
scripts: 定义可以通过 npm run 执行的脚本命令

其他配置

makefile 复制代码
main: 项目入口文件

repository: 代码仓库信息

keywords: 关键词数组,用于 npm 搜索

engines: 指定 Node.js 和 npm 的版本要求

示例

js 复制代码
{
  "name": "my-project",
  "version": "3.2.1",
  "description": "A sample project",
  "main": "index.js",
  "scripts": {
    "start": "node index.js",
    "test": "jest"
  },
  "dependencies": {
    "express": "^4.17.1"
  },
  "devDependencies": {
    "jest": "^26.6.3"
  }
}

2.package-lock.json

基本概念

package-lock.json 是 npm 5+ 版本引入的文件,用于锁定依赖树的确切版本,确保不同环境下安装完全相同的依赖。

主要特点

复制代码
自动生成:由 npm 自动创建和维护,使用 npm install 安装包后就会自动生成。

精确版本控制:记录每个依赖包的确切版本

依赖关系树:完整记录依赖树结构

安装优化:加快后续安装速度

文件作用

复制代码
版本锁定:防止因语义化版本导致的意外升级

一致性保证:确保团队成员和 CI/CD 系统使用相同的依赖版本

安装效率:记录已解析的依赖树,避免重复计算

与 package.json 的关系

go 复制代码
package.json 定义的是版本范围

package-lock.json 记录的是确切版本

当两者冲突时,以 package-lock.json 为准(npm 5+)

3.最佳实践

markdown 复制代码
版本管理

    将 package-lock.json 提交到版本控制系统

    不要手动修改 package-lock.json
依赖安装

    npm 安装包的方式分为本地安装和全局安装。安装使用npm install或简写形式npm i。
    本地安装

    使用 npm ci 命令(基于 package-lock.json 安装,用于生产环境)

    使用 npm install <参数>  <package-name> 命令(会更新 package-lock.json,用于开发环境)

    全局安装 

    npm i -g  <package-name>

    npm i --global <package-name>

    让安装的包放到对应依赖位置

    开发依赖(devDependencies)中,传递参数 --save-dev 或 -D 即可。

    生产依赖(dependencies)中,传递参数 --save 或 -S 即可。

    不想放在开发依赖也不想放在生产依赖,使用npm install --no-save。

        注意:包默认安装到生产依赖(dependencies)中

    线上环境,只需要安装dependencies中的包,使用npm install --prod命令。

    删除包 

          npm uninstall  <package-name>
        // 简写形式
        npm un  <package-name>

        全局删除     npm uninstall -g   <package-name>
更新依赖

    使用 npm update 更新次要版本和补丁版本

    使用 npm install package@version 更新主版本
安全考虑

    定期运行 npm audit 检查安全漏洞

    使用 npm audit fix 修复已知漏洞

4.常见问题

csharp 复制代码
    4.1: 为什么有时 node_modules 和 package-lock.json 会不一致?

             通常是因为手动修改了 package.json 或在不同 npm 版本间切换导致的。可以删除         node_modules 和 package-lock.json 后重新安装。
    4.2.可以删除 package-lock.json 吗?

            不推荐,删除后会导致依赖版本不确定性,可能引入兼容性问题。

    4.3. yarn.lock 和 package-lock.json 有什么区别?
            两者功能类似,都是锁定依赖版本,只是格式不同。yarn.lock 是 Yarn 包管理工具生成的。
相关推荐
假客套8 分钟前
2025 后端自学UNIAPP【项目实战:旅游项目】7、景点详情页面【完结】
前端·uni-app·旅游
Captaincc22 分钟前
Ilya 现身多大毕业演讲:AI 会完成我们能做的一切
前端·ai编程
teeeeeeemo34 分钟前
Vue数据响应式原理解析
前端·javascript·vue.js·笔记·前端框架·vue
Sahas101938 分钟前
__VUE_PROD_HYDRATION_MISMATCH_DETAILS__ is not explicitly defined.
前端·javascript·vue.js
Jinxiansen02111 小时前
Vue 3 实战:【加强版】公司通知推送(WebSocket + token 校验 + 心跳机制)
前端·javascript·vue.js·websocket·typescript
MrSkye1 小时前
React入门:组件化思想?数据驱动?
前端·react.js·面试
BillKu1 小时前
Java解析前端传来的Unix时间戳
java·前端·unix
@Mr_LiuYang1 小时前
网页版便签应用开发:HTML5本地存储与拖拽交互实践
前端·交互·html5·html5便签应用
JacksonGao1 小时前
一分钟带你了解React Fiber的工作单元结构!
前端·react.js
前端农民晨曦1 小时前
深入浏览器事件循环与任务队列架构
前端·javascript·面试