一文掌握 Nodejs 项目开发中 npm 的使用

本文旨在解决对开发过程中涉及Node.js项目中的 npm 的疑惑，掌握其使用。让你对 npm 不再陌生，得心应手于你的项目开发管理，更加放心的把精力放在实际开发上。

npm (Node Package Manager) 是 JavaScript 的包管理工具，主要用于 Node.js 项目的依赖管理。它是 Node.js 的默认包管理器，允许开发者安装、共享和管理项目所需的库和工具。

1. 常用命令

1.1. 初始化项目

创建一个 package.json 文件，记录项目信息和依赖。

npm init

1.2. 安装包

安装指定的包并将其添加到 package.json 的 dependencies 中。

npm install <package-name>

1.3. 全局安装包

安装包到全局环境，适用于命令行工具。

npm install -g <package-name>

1.4. 安装开发依赖

安装包并将其添加到 devDependencies 中，通常用于开发工具。

npm install <package-name> --save-dev

1.5. 安装生产依赖

只安装 dependencies 中的依赖，忽略 devDependencies。

npm install --production

1.6. 安装项目所有依赖

根据 package.json 安装所有依赖。

npm install

1.7. 安装指定版本的包

安装指定版本的包。

npm install <package-name>@<version>

• 例如安装 lodash 的 4.17.21 版本：

npm install lodash@4.17.21

1.8. 卸载包

移除已安装的包。

npm uninstall <package-name>

1.9. 更新包

更新指定包到最新版本。

npm update <package-name>

1.10. 查看已安装包

列出项目安装的所有包。

npm list

• 如果想查看全局安装的包：

npm list -g --depth=0

1.11. 运行脚本

执行 package.json 中定义的脚本。

npm run <script-name>

1.12. 发布包

将包发布到 npm 仓库。

npm publish

1.13. 检查过时的包

查看项目中需要更新的包。

npm outdated

1.14. 清理缓存

清理 npm 的缓存。

npm cache clean --force

1.15. 设置镜像源

如果下载速度慢，可以切换 npm 镜像源。

• 使用淘宝镜像：

npm config set registry https://registry.npmmirror.com

• 恢复默认镜像：

npm config set registry https://registry.npmjs.org

1.16. 查看包信息

查看某个包的详细信息。

npm view <package-name>

• 例如查看 lodash 的信息：

npm view lodash

1.17. 修复依赖问题

修复依赖树中的问题。

npm dedupe

2. 配置文件

package.json 和 package-lock.json 是 Node.js 项目中两个非常重要的文件，它们的作用和内容有所不同，但共同协作来管理项目的依赖关系。package.json 定义项目的依赖范围和元数据。package-lock.json 锁定依赖的精确版本，确保一致性。两者结合使用，可以更好地管理项目的依赖关系，避免版本冲突和不一致问题。

2.1. package.json

作用:

package.json 是项目的核心配置文件，定义了项目的元数据（如名称、版本、描述等）以及依赖项（dependencies 和 devDependencies）。

内容:

• 项目的基本信息（如 name, version, description, author 等）。
• 项目的依赖项（dependencies 和 devDependencies）。
• 可执行的脚本命令（scripts）。
• 其他配置（如 main, license, repository 等）。

依赖版本规则:

在 package.json 中，依赖的版本通常使用语义化版本控制（SemVer），例如：

^1.2.3：允许安装 1.x.x 的最新版本，但不包括 2.0.0。

~1.2.3：允许安装 1.2.x 的最新版本，但不包括 1.3.0。

1.2.3：严格锁定版本，只能安装 1.2.3。

这种灵活性可能导致不同环境下安装的依赖版本不一致。

2.2. package-lock.json

作用:

package-lock.json 是自动生成的文件，用于锁定依赖的精确版本，确保每次安装的依赖完全一致，避免因版本差异导致的问题。

内容:

• 记录了当前项目中所有依赖的精确版本及其依赖树。
• 包括每个依赖的下载地址（resolved）和完整性校验（integrity）。

生成方式:

• 当运行 npm install 时，package-lock.json 会自动生成或更新。

特点:

• 锁定依赖的精确版本，确保一致性。
• 在团队协作或 CI/CD 环境中非常重要，避免“在我机器上能运行”的问题。

2.3. package.json 和 package-lock.json 的主要区别：

2.4. 为什么需要 package-lock.json？

• 确保一致性
  package.json 中的依赖版本范围可能导致不同环境下安装的版本不一致，而 package-lock.json 锁定了精确版本，确保所有开发者或环境安装的依赖完全相同。
• 提升安装速度
  package-lock.json 记录了依赖树的结构，npm 可以根据它快速解析依赖关系，减少安装时间。
• 避免意外问题
  依赖的更新可能导致兼容性问题，package-lock.json 可以避免因依赖版本更新引入的意外问题。

2.5. 使用场景

开发环境

• 使用 package.json 定义依赖范围，package-lock.json 锁定精确版本。

生产环境

• 使用 npm ci 命令，根据 package-lock.json 安装依赖，确保一致性。

2.6. 注意事项

2.6.1 不要手动修改 package-lock.json

• 该文件由 npm 自动生成和维护，手动修改可能导致依赖问题。

2.6.2. 提交到版本控制

• 建议将 package-lock.json 提交到 Git 仓库，以确保团队协作和 CI/CD 环境的一致性。

2.6.3. npm ci vs npm install

• npm install：根据 package.json 和 package-lock.json 安装依赖，可能会更新 package-lock.json。
• npm ci：严格根据 package-lock.json 安装依赖，不会修改任何文件，适合生产环境。

3. 其他工具

3.1. npx 运行包 npx 运行包

npx 是 npm 5.2.0 引入的工具，用于运行本地或远程的 npm 包，无需全局安装。

npx <package-name>

• 例如运行 create-react-app：

npx create-react-app my-app

3.2. 使用 npm ci

用于 CI/CD 环境，根据 package-lock.json 安装依赖，确保一致性。

npm ci

4. 常见问题

4.1. 权限问题

全局安装时可能遇到权限错误，可以通过 sudo 或以管理员身份运行解决，或使用 nvm 管理 Node.js 版本。

4.2. 网络问题

安装依赖时可能因网络问题失败，可以尝试切换镜像源：

npm config set registry https://registry.npm.taobao.org

4.3. 版本冲突

依赖版本冲突时，使用 npm dedupe 或手动调整 package.json。

参考文档

本文主要参考提取 npm 官方文档和 Node.js 官方文档，把其中的常用命令和可能遇到的问题进行汇总总结，并给出相应的在终端下的执行命令。

npm 官方文档：https://docs.npmjs.com

Node.js 官方文档：https://nodejs.org/en

爱学习的小伙伴，关注不迷路哟～