为什么“npm install”会重写package-lock.json?

我最近刚升级到npm@5。我现在有一个包锁。包含package.json中的所有内容的Json文件。我希望，当我运行npm install时，依赖版本将从锁文件中提取，以确定应该在我的node_modules目录中安装什么。奇怪的是，它实际上最终修改和重写了我的包锁。json文件。

例如，锁文件的typescript被指定为2.1.6版本。然后，在执行npm install命令后，版本被更改为2.4.1。这似乎违背了锁文件的全部目的。

我错过了什么?我如何让npm尊重我的锁文件?

当前回答

编辑:“锁”这个名字是一个棘手的名字，它的NPM试图赶上Yarn。这不是一个锁定的文件。包中。Json是一个用户固定的文件，一旦“安装”将生成node_modules文件夹树，然后该树将被写入package-lock.json。所以你看，它是另一种方式-依赖版本将从包拉。Json和包锁。Json应该被称为package-tree.json

(希望这能让我的回答更清楚，在这么多的反对票之后)

一个简单的答案:打包。Json像往常一样有你的依赖项，而package-lock。Json是“一个精确的，更重要的是可复制的node_modules树”(取自NPM文档本身)。

至于这个棘手的名字，它的NPM试图赶上Yarn。

2017-11-15 00:54:36

其他回答

(希望这能让我的回答更清楚，在这么多的反对票之后)

一个简单的答案:打包。Json像往常一样有你的依赖项，而package-lock。Json是“一个精确的，更重要的是可复制的node_modules树”(取自NPM文档本身)。

至于这个棘手的名字，它的NPM试图赶上Yarn。

2017-11-15 00:54:36

简短的回答:

NPM安装荣誉包锁。Json，如果它满足package.json的要求。如果它不满足这些要求，则更新包并覆盖包锁。如果你希望安装失败，而不是覆盖包锁发生时，使用npm ci。

下面是一个可能解释这些事情的场景(经过NPM 6.3.0验证)

在包中声明一个依赖项。json:

"depA": "^1.0.0"

然后执行npm install，它会生成一个包锁。json:

"depA": "1.0.0"

几天后，“depA”的一个更新的小版本发布了，比如“1.1.0”，那么下面的情况是成立的:

npm ci       # respects only package-lock.json and installs 1.0.0

npm install  # also, respects the package-lock version and keeps 1.0.0 installed 
             # (i.e. when package-lock.json exists, it overrules package.json)

接下来，手动更新包。json:

"depA": "^1.1.0"

然后重新运行:

npm ci      # will try to honor package-lock which says 1.0.0
            # but that does not satisfy package.json requirement of "^1.1.0" 
            # so it would throw an error 

npm install # installs "1.1.0" (as required by the updated package.json)
            # also rewrites package-lock.json version to "1.1.0"
            # (i.e. when package.json is modified, it overrules the package-lock.json)

2018-12-03 12:39:15

也许你应该用这样的东西