package.json與package-lock.json的區(qū)別是什么

這篇文章主要介紹了package.json與package-lock.json的區(qū)別是什么的相關(guān)知識(shí)，內(nèi)容詳細(xì)易懂，操作簡單快捷，具有一定借鑒價(jià)值，相信大家閱讀完這篇package.json與package-lock.json的區(qū)別是什么文章都會(huì)有所收獲，下面我們一起來看看吧。

package.json

記錄當(dāng)前項(xiàng)目所依賴模塊的版本信息，更新模塊時(shí)鎖定模塊的大版本號(hào)（版本號(hào)的第一位）,不能鎖定后面的小版本，

package-lock.json

package-lock.json 是在 `npm install`時(shí)候生成一份文件。記錄了node_modules目錄下所有模塊（包）的名稱、版本號(hào)、下載地址、及這個(gè)模塊又依賴了哪些依賴。

兩者區(qū)別：

npm5以前

npm5以前，沒有package-lock.json這個(gè)文件。package.json文件會(huì)記錄你項(xiàng)目中所需要的所有模塊。當(dāng)你執(zhí)行npm install的時(shí)候，node會(huì)先從package.json文件中讀取所有dependencies信息，然后根據(jù)dependencies中的信息與node_modules中的模塊進(jìn)行對(duì)比，沒有的直接下載，已有的檢查更新。

因?yàn)閜ackage.json只能鎖定模塊的大版本號(hào)（版本號(hào)的第一位），不能鎖定后面的小版本，所以你每次重新npm install時(shí)候拉取的都是該大版本下面最新的版本。一般我們?yōu)榱朔€(wěn)定性考慮我們不能隨意升級(jí)依賴包，因?yàn)槿绻麚Q包導(dǎo)致兼容性bug出現(xiàn)很難排查，這樣很容易出現(xiàn)問題，所以package-lock.json就是來解決包鎖定不升級(jí)問題的

另外，package.json文件只記錄你通過npm install方式安裝的模塊信息，而這些模塊所依賴的其他子模塊的信息不會(huì)記錄。

npm5以后

package-lock.json文件鎖定所有模塊的版本號(hào)，包括主模塊和所有依賴子模塊。當(dāng)你執(zhí)行npm install的時(shí)候，node從package.json文件讀取模塊名稱，從package-lock.json文件中獲取版本號(hào)，然后進(jìn)行下載或者更新。

因此，正因?yàn)橛辛藀ackage-lock.json文件鎖定版本號(hào)，所以當(dāng)你執(zhí)行npm install的時(shí)候，node不會(huì)自動(dòng)更新package.json文件中的模塊，必須用npm install packagename@x.x.x（指定版本號(hào)）來進(jìn)行安裝才會(huì)更新，package-lock.json文件中的版本號(hào)也會(huì)隨著更新。

package-lock.json的作用

如果重新 npm install 的時(shí)候以及當(dāng)node_modules文件夾并不存在或被刪除時(shí)，需要用到npm install重新裝載全部依賴時(shí)，通過package-lock.json可以直接表明下載地址和相關(guān)依賴，就無需再從package.json逐個(gè)分析包的依賴項(xiàng)，因此會(huì)大大加快安裝速度，package-lock.json目的就是確保所有庫包與你上次安裝的完全一樣。        

如果要升級(jí)package-lock.json里面的庫包

npm install XXX@x.x.x

補(bǔ)充：關(guān)于package-lock.json的詳細(xì)解釋

Node.js v8.0 后，自帶的 npm 也升級(jí)到了5.0的確帶來了不少便利，大概講一下 npm 5 的一些大的變化：

• 使用npm install xxx命令安裝模塊時(shí)，不再需要–save選項(xiàng)，會(huì)自動(dòng)將模塊依賴信息保存到 package.json 文件；

• 安裝模塊操作（改變 node_modules 文件夾內(nèi)容）會(huì)生成或更新 package-lock.json 文件；

• 發(fā)布的模塊不會(huì)包含 package-lock.json 文件；

• 如果手動(dòng)修改了 package.json 文件中已有模塊的版本，直接執(zhí)行npm install不會(huì)安裝新指定的版本，只能通過npm install xxx@yy更新
  重新安裝模塊之所以快，是因?yàn)?package-lock.json 文件中已經(jīng)記錄了整個(gè) node_modules 文件夾的樹狀結(jié)構(gòu)，甚至連模塊的下載地址都記錄了，再重新安裝的時(shí)候只需要直接下載文件即可（這樣看起來 facebook 的 yarn 好像沒有啥優(yōu)勢(shì)了）；

package-lock.json文件的產(chǎn)生：

• package.json文件下載到的依賴包可能在不同的情況下，各庫包的版本語義可能并不相同，有的庫包開發(fā)者并不嚴(yán)格遵守這一原則：相同大版本號(hào)的同一個(gè)庫包，其接口符合兼容要求。

• 產(chǎn)生問題：在不同時(shí)間或者不同npm下載源之下，下載的各依賴包版本可能有所不同，因此其依賴庫包行為特征也不同，有時(shí)候甚至完全不兼容。

• npm5開始提供自動(dòng)生成package-lock.json文件的功能，為的是讓開發(fā)者知道只要你保存了源文件，到一個(gè)新的機(jī)器上、或者新的下載源，只要按照這個(gè)package-lock.json文件所標(biāo)識(shí)的具體版本下載依賴庫包，就能確保所有庫包與上次的安裝完全一樣；

• npm的下載源改為私服地址，這樣產(chǎn)生的package-lock.json文件的版本號(hào)是這個(gè)私服上設(shè)置好的版本號(hào)

以下是 package-lock.json 文件的例子：

package-lock.json是當(dāng) node_modules 或 package.json發(fā)生變化時(shí)自動(dòng)生成的文件。這個(gè)文件主要功能是確定當(dāng)前安裝的包的依賴，以便后續(xù)重新安裝的時(shí)候生成相同的依賴，而忽略項(xiàng)目開發(fā)過程中有些依賴已經(jīng)發(fā)生的更新

{
"name": "test_pkg_lock",
"version": "1.0.0",
"lockfileVersion": 1,
"dependencies": {
"commander": {
"version": "2.9.0",
"resolved": "https://registry.npmjs.org/commander/-/commander-2.9.0.tgz",
"integrity": "sha1-nJkJQXbhIkDLItbFFGCYQA/g99Q="
},
"cssfilter": {
"version": "0.0.8",
"resolved": "https://registry.npmjs.org/cssfilter/-/cssfilter-0.0.8.tgz",
"integrity": "sha1-ZWTKzLqKdt2bS5IGaLn7f9pQ5Uw="
},
"graceful-readlink": {
"version": "1.0.1",
"resolved": "https://registry.npmjs.org/graceful-readlink/-/graceful-readlink-1.0.1.tgz",
"integrity": "sha1-TK+tdrxi8C+gObL5Tpo906ORpyU="
},
"xss": {
"version": "0.2.18",
"resolved": "https://registry.npmjs.org/xss/-/xss-0.2.18.tgz",
"integrity": "sha1-bfX7XKKL3FHnhiT/Y/GeE+vXO6s="
}
}}

帶來速度的同時(shí)，npm 也挖了個(gè)大大的坑：

以后直接改 package.json 文件相應(yīng)模塊的版本號(hào)，再執(zhí)行npm install不會(huì)更新了（好可怕），你只能手動(dòng)用npm install xxx@yy指定版本號(hào)來安裝，然后它會(huì)自動(dòng)更新 package-lock.json 文件。直接執(zhí)行npm install時(shí)，如果不存在 package-lock.json 文件，它會(huì)根據(jù)安裝模塊后的 node_modules 目錄結(jié)構(gòu)來創(chuàng)建；如果已經(jīng)存在 package-lock.json 文件，則它只會(huì)根據(jù) package-lock.json 文件指定的結(jié)構(gòu)來下載模塊，并不會(huì)理會(huì) package.json 文件

網(wǎng)上已經(jīng)有很多人反應(yīng)這個(gè)問題了：GitHub 上的 issue：package-lock.json file not updated after package.json file is changed

clean project with some deps in package.json.you run npm imodules are
installed and package-lock.json file is created.say you update module
A in package.json file.you run npm i. I would expect this updates the
package-lock.json file but it doesn’t. which results in module A not
being updated.

關(guān)于“package.json與package-lock.json的區(qū)別是什么”這篇文章的內(nèi)容就介紹到這里，感謝各位的閱讀！相信大家對(duì)“package.json與package-lock.json的區(qū)別是什么”知識(shí)都有一定的了解，大家如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道。