Node.js的依賴管理系統(tǒng)公認(rèn)是非常先進(jìn)的芜果。這一篇文章來簡(jiǎn)單談?wù)刵pm如何管理項(xiàng)目的依賴包的版本城榛。
下文大多翻譯自Express in Action一書第12章的相關(guān)內(nèi)容
語義化版本號(hào)
npm默認(rèn)所有的Node包都使用語義化版本號(hào),英文叫做semantic versioning乳绕。這是一套指導(dǎo)開發(fā)人員如何增長版本號(hào)的規(guī)則,要求:
- 每個(gè)版本號(hào)都形如
1.2.3,由三個(gè)部分組成线婚,依次叫做“主版本號(hào)”、“次版本號(hào)”和“修訂號(hào)” - 當(dāng)新版本無法兼容基于前一版本的代碼時(shí)盆均,則提高主版本號(hào)
- 當(dāng)新版本新增了功能與特性酌伊,但仍兼容前一版本的代碼時(shí),則提高次版本號(hào)
- 當(dāng)新版本僅僅修正漏洞或者增強(qiáng)效率缀踪,仍然兼容前一版本代碼居砖,則提高修訂號(hào)
默認(rèn)情況下,npm install --save下載的都是最新版本驴娃,并且會(huì)在package.json文件里登記一個(gè)最優(yōu)版本號(hào)奏候,其形式如下所示:
"dependencies": {
"express": "^4.10.0",
"ejs": "~2.3.2"
}
可以看到,最優(yōu)版本號(hào)在數(shù)字之前多出一個(gè)“標(biāo)記”唇敞。當(dāng)以后使用npm install按照package.json的這一部分來下載依賴包時(shí)蔗草,^意味著所下載的包有可能會(huì)有更高的次版本號(hào)或者修訂版本號(hào),而~意味著有可能會(huì)有更高的修訂版本號(hào)疆柔。
鎖定依賴包的版本
如果所有的Node包都嚴(yán)格地符合語義化版本管理的規(guī)則咒精,那么npm的最優(yōu)版本號(hào)就能保證所下載的依賴包一定是與代碼兼容的。但問題是我們無法保證這一前提旷档,如果想要保證用戶(或者其他開發(fā)人員)下載依賴包與我們的代碼絕對(duì)兼容模叙,那么可以用下面兩種辦法來鎖定項(xiàng)目的依賴包的版本號(hào)。
回避最優(yōu)版本號(hào)
最簡(jiǎn)單最快捷的方法鞋屈,就是不使用最優(yōu)版本號(hào)范咨。對(duì)于已經(jīng)記錄在package.json里的版本號(hào),只需把打頭的^和~標(biāo)記去掉即可厂庇。而新安裝依賴包時(shí)渠啊,則使用npm install --save-exact <package_name>或者npm install --save <package_name>@1.2.3,這樣package.json里就不會(huì)出現(xiàn)最優(yōu)版本的標(biāo)記权旷。
這個(gè)方法雖然簡(jiǎn)單替蛉,但是有個(gè)缺陷:無法鎖定次級(jí)依賴的版本號(hào)(依賴包的依賴包,等等)拄氯。比如說你的項(xiàng)目依賴某個(gè)特定版本的Backbone.js躲查,你可以按照上面的方法在package.json里去掉最優(yōu)版本的標(biāo)記:
"dependencies": {
"backbone": "1.2.3"
}
而這個(gè)版本的Backbone有自己的package.json,里面記錄的依賴包使用的很可能還是最優(yōu)版本號(hào)坤邪。比如Backbone依賴Underscore.js熙含,你在開發(fā)時(shí),npm為Backbone下載的可能是underscore@1.1.1艇纺,而當(dāng)之后的某個(gè)時(shí)刻怎静,Underscore有了更新邮弹,同一項(xiàng)目的開發(fā)人員或者你的包的使用者運(yùn)行npm install時(shí)下載的可能就是underscore@1.2.0。大多數(shù)情況下蚓聘,這不會(huì)有什么問題腌乡,但是萬一真的不兼容(或者你就是想要絕對(duì)安全),那么就得使用更加復(fù)雜一些的方法了夜牡。
使用npm shrinkwrap命令
現(xiàn)在問題的關(guān)鍵在于如何鎖定依賴之依賴的版本號(hào)与纽。npm有一個(gè)命令來解決這個(gè)問題:npm shrinkwrap。
比如說塘装,你在開發(fā)某個(gè)Node項(xiàng)目時(shí)急迂,進(jìn)行到某個(gè)節(jié)點(diǎn),一切都運(yùn)行順利蹦肴,說明目前所有的依賴包(以及更底層的依賴包)和你的代碼兼容得很好僚碎。這個(gè)時(shí)候,你就可以在項(xiàng)目文件夾下運(yùn)行上面的這個(gè)命令阴幌。它會(huì)生成一個(gè)npm-shrinkwrap.json文件勺阐,記錄目前所有依賴包(及更底層依賴包)的版本信息。這樣當(dāng)以后你(或者你的同事矛双、你的用戶)運(yùn)行npm install命令時(shí)渊抽,npm首先會(huì)找npm-shrinkwrap.json文件,依照其中的信息來準(zhǔn)確地安裝每一個(gè)依賴包议忽,只有當(dāng)這個(gè)文件不存在時(shí)懒闷,npm才會(huì)使用package.json。
在這之后開發(fā)的過程中徙瓶,如果你想要更新某個(gè)依賴包毛雇,比如將Express從4.13.0更新到4.14.1,那么就只需npm install express@4.14.1侦镇;或者想要添加新的依賴包,比如Helmet织阅,也只需npm install helmet壳繁。經(jīng)過一段時(shí)間的測(cè)試與開發(fā),當(dāng)你確定這些新版本新安裝的依賴包與自己的代碼兼容后荔棉,就可以再次運(yùn)行npm shrinkwrap命令來鎖定依賴包的版本闹炉。
本地安裝優(yōu)于全局安裝
npm安裝依賴包時(shí)有兩種模式:本地安裝或者全局安裝。本地安裝表示該依賴包會(huì)被下載到當(dāng)前項(xiàng)目的node_modules文件夾里润樱,而全局變量則會(huì)把它安裝到系統(tǒng)級(jí)別的目錄里渣触。比如用npm install -g typescript全局安裝typescript這個(gè)包后,我們就可以在系統(tǒng)的任何位置使用tsc命令來編譯TypeScript文件壹若。這本身沒有什么錯(cuò)嗅钻,有些Node包的命令確實(shí)需要在任何位置都能使用皂冰,但全局安裝依賴包也有隱患:使用你的應(yīng)用的用戶如果沒有全局安裝typescript怎么辦?或者如果她所安裝的版本不兼容怎么辦养篓?
所以秃流,安裝依賴包最好遵循以下實(shí)踐:
- 盡量不全局安裝依賴包,除非是typescript柳弄,grunt這種確實(shí)有需要的
- 所有的依賴包都應(yīng)該本地安裝舶胀,即使是那些已經(jīng)全局安裝過的
本地安裝的依賴包,其命令都位于當(dāng)前項(xiàng)目的node_module/.bin文件夾下碧注。package.json文件的"scripts"部分所使用的依賴包命令都會(huì)先去這個(gè)文件夾尋找嚣伐。
例如,你的package.json里有這么一段:
"scripts": {
"build:js": "tsc"
}
那么萍丐,當(dāng)你運(yùn)行npm run build:js時(shí)轩端,npm會(huì)先去當(dāng)前項(xiàng)目的node_module/.bin里尋找對(duì)應(yīng)的執(zhí)行文件,如果你沒有本地安裝碉纺,才會(huì)使用全局級(jí)別的命令船万。
結(jié)語
以上就是對(duì)npm如何管理項(xiàng)目的依賴包版本的一個(gè)簡(jiǎn)單總結(jié)。主要涉及的知識(shí)點(diǎn)包括:語義化的版本號(hào)骨田,最優(yōu)版本號(hào)耿导,兩種鎖定依賴包的方法,以及為什么本地安裝依賴包會(huì)優(yōu)于全局安裝
