npm install 和 npm ci的区别

版本号规则

版本号规则

1. 版本号格式为：X.Y.Z，并且 X、Y、Z 均为正整数并且不断递增。X 表示大版本（major）、Y 表示小版本（minor）、Z 表示补丁版本（patch）
2. 版本不能变更，变更必须再发布一个新版本。XYZ分别递增表示不兼容的变更、向后兼容的新功能、向后兼容的Bug修复（同时大版本可能包含小版本或补丁版本的改动）
3. 0.Y.Z 表示初始版本，这种版本下的 API 不能保证稳定，随时可能变更。

* ^ ~定义与区别

1. *意味着安装最新大版本的依赖包
2. ^ 指的是只要不修改 [major, minor, patch] 三元组中，最左侧的第一个非0位，都是可以的
   ^1.2.3 匹配 >=1.2.3 < 2.0.0
   ^0.2.3 匹配 >=0.2.3 <0.3.0
   ^0.0.3 匹配 >=0.0.3 <0.0.4
3. ~ 简而言之就是允许修改最后一位被指定的版本号
   ~1.2.3 匹配 >=1.2.3 <1.3.0
   ~1.2 匹配 >=1.2.0 <1.3.0 (Same as 1.2.x)
   ~1 匹配 >=1.0.0 < 2.0.0
   ~0.2.3 匹配 >=0.2.3 <0.3.0
   ~1.2 匹配 >=1.2.0 <1.3.0 (Same as 0.2.x)
   ~0 匹配 >=0.0.0 < 1.0.0(Same as 0.x)
4. 不带标志，1.2.3则意味着指定版本的依赖包

命令行引入版本区别（以koa为例）

1. npm install koa --save
   未指明版本号安装模块，会默认安装模块的最新版本, package.json 文件中。如：“koa”: “^2.11.0”，会更新小版本

2. npm install --save [email protected]
   指明版本号安装模块，会安装模块的指定版本, package.json 文件中。如：“koa”: “^1.0.0”，会更新小版本

3. npm install
   如果删除lock文件和node-modules,install之后会根据package.json 文件中"koa": “^1.0.0”，更新小版本，lock显示实际的安装可能为"1.7.0"

4、其他细节
如果只在开发时需要，运行时不需要的包，可以npm install X –save-dev 或者 npm install X -D，会添加在package.json的devDependencies属性下

package-lock.json文件与package.json的关联

生成方式

1. package.json文件已不再自动生成，npm init ，根据命令行提示输入一些基本信息，可初始化生成package.json文件

2. 执行"npm install"时，node会重新生成package-lock.json文件，然后把node_modules中的模块信息全部记入package-lock.json文件

两者的区别

1.package.json文件只记录通过npm install方式安装的模块信息，而这些模块所依赖的其他子模块的信息不会记录。

2.package-lock.json文件锁定所有模块的版本号，包括主模块和所有依赖子模块。

包的下载流程规则

image.png

改动影响

1. 两个文件的模块信息不冲突时（如package.json中模块版本区间^1.1.0包含lock文件中已安装的版本 ^1.7.0）
   执行npm install，node从package.json文件读取模块名称，从package-lock.json文件中获取版本号，然后进行下载或者更新

2. 两个文件的模块信息冲突时（如package.json中模块版本区间^1.1.0不包含lock文件中已安装的版本 ^2.11.0）
   执行npm install，node从package.json文件读取模块名称和范围，按其规则下载包，并更新package-lock.json文件版本

常见问题

如上2所说，一旦冲突，会根据package.json的范围重新更新文件版本，如果不想自动覆盖的话怎么做？

执行npm ci而非npm i, 这样当package-lock.json指定的依赖版本不在package.json指定的依赖版本范围内时，npm会报错并取消安装。

如何保证稳定性

1. 使用package-lock文件，改动package.json文件时使用npm ci命令，避免自动覆盖更新lock文件。
2. 出现问题时，可以通过git查看lock文件变动，找到旧的模块版本，通过命令行指定安装版本号。
3. 私服管理核心包以及不太稳定的包，避免被删。