簡單談?wù)勱P(guān)于 npm 5.0 的新坑

更新時間：2017年06月08日 10:11:52 作者：老雷

最近使用到了npm5.0，第一次使用確實被驚艷了，但隨著而來的是一些坑，下面這篇文章主要給大家簡單介紹了關(guān)于npm 5的一些新坑，需要的朋友可以參考學(xué)習(xí)，下面來一起看看吧。

前言

前幾天升級了 Node.js v8.0 后，自帶的 npm 也升級到了5.0，第一次使用的時候確實驚艷到了：原本重新安裝一次模塊要十幾秒到事情，現(xiàn)在一秒多就搞定了。

先不要激動，現(xiàn)在我來大概講一下 npm 5 的一些大的變化：

使用npm install xxx命令安裝模塊時，不再需要--save選項，會自動將模塊依賴信息保存到 package.json 文件；
安裝模塊操作（改變 node_modules 文件夾內(nèi)容）會生成或更新 package-lock.json 文件
發(fā)布的模塊不會包含 package-lock.json 文件
如果手動修改了 package.json 文件中已有模塊的版本，直接執(zhí)行npm install不會安裝新指定的版本，只能通過npm install xxx@yy更新

重新安裝模塊之所以快，是因為 package-lock.json 文件中已經(jīng)記錄了整個 node_modules 文件夾的樹狀結(jié)構(gòu)，甚至連模塊的下載地址都記錄了，再重新安裝的時候只需要直接下載文件即可（這樣看起來 facebook 的 yarn 好像沒有啥優(yōu)勢了）。

以下是 package-lock.json 文件的例子：

{
 "name": "test_pkg_lock",
 "version": "1.0.0",
 "lockfileVersion": 1,
 "dependencies": {
 "commander": {
 "version": "2.9.0",
 "resolved": "https://registry.npmjs.org/commander/-/commander-2.9.0.tgz",
 "integrity": "sha1-nJkJQXbhIkDLItbFFGCYQA/g99Q="
 },
 "cssfilter": {
 "version": "0.0.8",
 "resolved": "https://registry.npmjs.org/cssfilter/-/cssfilter-0.0.8.tgz",
 "integrity": "sha1-ZWTKzLqKdt2bS5IGaLn7f9pQ5Uw="
 },
 "graceful-readlink": {
 "version": "1.0.1",
 "resolved": "https://registry.npmjs.org/graceful-readlink/-/graceful-readlink-1.0.1.tgz",
 "integrity": "sha1-TK+tdrxi8C+gObL5Tpo906ORpyU="
 },
 "xss": {
 "version": "0.2.18",
 "resolved": "https://registry.npmjs.org/xss/-/xss-0.2.18.tgz",
 "integrity": "sha1-bfX7XKKL3FHnhiT/Y/GeE+vXO6s="
 }
 }}

帶來速度的同時，npm 也挖了個大大的坑：

以后直接改 package.json 文件相應(yīng)模塊的版本號，再執(zhí)行npm install不會更新了（好可怕），你只能手動用npm install xxx@yy指定版本號來安裝，然后它會自動更新 package-lock.json 文件。直接執(zhí)行npm install時，如果不存在 package-lock.json 文件，它會根據(jù)安裝模塊后的 node_modules 目錄結(jié)構(gòu)來創(chuàng)建；如果已經(jīng)存在 package-lock.json 文件，則它只會根據(jù) package-lock.json 文件指定的結(jié)構(gòu)來下載模塊，并不會理會 package.json 文件。

網(wǎng)上已經(jīng)有很多人反應(yīng)這個問題了：GitHub 上的 issue：package-lock.json file not updated after package.json file is changed

鏈接：https://github.com/npm/npm/issues/16866

clean project with some deps in package.json.you run npm imodules are installed and package-lock.json file is created.say you update module A in package.json file.you run npm i. I would expect this updates the package-lock.json file but it doesn't. which results in module A not being updated.

文章：Understanding lock files in NPM 5

鏈接：http://jpospisil.com/2017/06/02/understanding-lock-files-in-npm-5.html

這里是 npm 文檔關(guān)于 package-locks 的說明

鏈接：https://docs.npmjs.com/files/package-locks

目前還不知道關(guān)于 package-lock.json 的最佳實踐，果斷切換回 Node v6.x，等別人把坑填了再上。

總結(jié)

以上就是這篇文章的全部內(nèi)容了，希望本文的內(nèi)容對大家的學(xué)習(xí)或者工作能帶來一定的幫助，如果有疑問大家可以留言交流，謝謝大家對腳本之家的支持。