00002-nodejs-npm

2. 在nodejs中使用npm包管理器

简介

nodejs的强大一方面在于语言特性和V8引擎结合焕发的生命活力，另一方面就是强大的第三方包。除了nodejs服务端应用之外，前端的许许多多lib都加入了第三方包的阵营。

作为一个通吃前后端的语言，可想而知这个第三方包会有多大。为了方便的对第三方lib进行管理，nodejs在诞生初期就引入了npm包管理系统，通过它，我们可以轻松的对众多lib进行管理。

除了npm，还可以使用yarn来对包进行管理。

npm

npm一般是和nodejs一起安装的，我们可以直接执行npm来看下它的使用：

看起来npm的命令还是非常多的。大家可以使用npm help命令来查看具体的某个命令的执行情况。

这里，我们主要介绍几个最最常用的命令。

安装依赖

安装依赖，我们可以使用：

npm install <package-name>

install可以带下面几个参数：

common options: [-P|--save-prod|-D|--save-dev|-O|--save-optional] [-E|--save-exact] [-B|--save-bundle] [--no-save] [--dry-run]

我们试一下上篇文章讲的inquirer：

npm install inquirer

这个命令会在当前目录下面生成一个node_modules目录，并且将inquirer相关的依赖包安装到这个目录下面。

同时会生成一个package-lock.json文件，这个文件的作用我们后面再讲。

虽然这个install命令可以安装项目依赖的lib，但是如果在项目多人共享开发的情况下，就很难维护一个共有的lib库。

这个时候就需要引入package.json了。

我们将上面的命令改写一下：

npm install --save inquirer

注意，这个命令执行成功的前提是你已经创建好了package.json文件。

执行这个命令，我们可以看到在package.json文件中多出了：

  "dependencies": {
    "inquirer": "^7.3.3"
  },

我们可以使用不同的save选项，来生成不同的依赖：

  "devDependencies": {},
  "optionalDependencies": {},
  "bundleDependencies": [
    "inquirer"
  ]

其中devDependencies表示的是开发依赖项，在生成环境中并不需要，那么在生产环境中，我们可以使用：

npm install --production

以避免安装这些开发依赖项。

npm install默认会在当前目录安装所需的lib包，如果有些lib包需要被全局所使用的，那么install还支持一个-g选项，使用这个选项会将相应的lib安装到全局的地址。

安装特定版本的依赖

默认情况下，npm install会安装最新的lib包，但是有时候我们会想要安装特定版本的lib，那么可以使用 @ 语法来安装 npm 软件包的旧版本：

npm install <package>@<version>

在安装之前，我们可能想要知道一下这个包到底有哪些版本，我们可以这样npm view <package> versions：

npm view inquirer versions

[
  '0.1.0',  '0.1.1',  '0.1.2',  '0.1.3',  '0.1.4',  '0.1.5',  '0.1.6',
  '0.1.7',  '0.1.8',  '0.1.9',  '0.1.11', '0.1.12', '0.2.0',  '0.2.1',
  '0.2.2',  '0.2.3',  '0.2.4',  '0.2.5',  '0.3.0',  '0.3.1',  '0.3.2',
  '0.3.3',  '0.3.4',  '0.3.5',  '0.4.0',  '0.4.1',  '0.5.0',  '0.5.1',
  '0.6.0',  '0.7.1',  '0.7.2',  '0.7.3',  '0.8.0',  '0.8.2',  '0.8.3',
  '0.8.4',  '0.8.5',  '0.9.0',  '0.10.0', '0.10.1', '0.11.0', '0.11.1',
  '0.11.2', '0.11.3', '0.11.4', '0.12.0', '1.0.0',  '1.0.1',  '1.0.2',
  '1.0.3',  '1.1.0',  '1.1.1',  '1.1.2',  '1.1.3',  '1.2.1',  '1.2.2',
  '1.2.3',  '2.0.0',  '3.0.0',  '3.0.1',  '3.0.2',  '3.0.3',  '3.0.4',
  '3.0.5',  '3.0.6',  '3.1.0',  '3.1.1',  '3.2.0',  '3.2.1',  '3.2.2',
  '3.2.3',  '3.3.0',  '4.0.0',  '4.0.1',  '4.0.2',  '5.0.0',  '5.0.1',
  '5.1.0',  '5.2.0',  '6.0.0',  '6.1.0',  '6.2.0',  '6.2.1',  '6.2.2',
  '6.3.1',  '6.4.0',  '6.4.1',  '6.5.0',  '6.5.1',  '6.5.2',  '7.0.0',
  '7.0.1',  '7.0.2',  '7.0.3',  '7.0.4',  '7.0.5',  '7.0.6',  '7.0.7',
  '7.1.0',  '7.2.0',  '7.3.0',  '7.3.1',  '7.3.2',  '7.3.3'
]

然后找到要安装的版本安装即可。

如果我们想要找的该lib的最新版本，则可以使用：

npm view inquirer version
7.3.3

查看已安装的npm软件包

我们可以使用npm list来查看有已安装的 npm 软件包（包括它们的依赖包）的最新版本：

└─┬ inquirer@7.3.3
  ├─┬ ansi-escapes@4.3.1
  │ └── type-fest@0.11.0
  ├─┬ chalk@4.1.0
  │ ├─┬ ansi-styles@4.2.1
  │ │ ├── @types/color-name@1.1.1
  │ │ └─┬ color-convert@2.0.1
  │ │   └── color-name@1.1.4

list可以加上--depth参数表示列出的包的层级关系：

npm list --depth=0

nodejstest@1.0.0 /Users/flydean/data/git/nodejs/nodejstest
└── inquirer@7.3.3

或者可以指定要list的包名：

npm list inquirer 

nodejstest@1.0.0 /Users/flydean/data/git/nodejs/nodejstest
└── inquirer@7.3.3

版本规则

在nodejs中，所有的版本号都是这样的格式：x.y.z。

其中第一个数字是主版本，第二个数字是次版本，第三个数字是补丁版本。

通常来说，如果升级之后，做了不兼容的API更改，则需要升级主版本。如果是向后兼容的API更改，则升级次要版本，如果是向后兼容的bug修复版本的话，则升级补丁版本。

npm在版本的选择中，制定了一些特殊的符号，表示特别的意思：

^: 如果写入的是 ^0.13.0，则当运行 npm update 时，会更新到补丁版本和次版本：即 0.13.1、0.14.0、依此类推。

~: 如果写入的是 〜0.13.0，则当运行 npm update 时，会更新到补丁版本：即 0.13.1 可以，但 0.14.0 不可以。

>: 接受高于指定版本的任何版本。

>=: 接受等于或高于指定版本的任何版本。

<=: 接受等于或低于指定版本的任何版本。

<: 接受低于指定版本的任何版本。

=: 接受确切的版本。

-: 接受一定范围的版本。例如：2.1.0 - 2.6.2。

||: 组合集合。例如 < 2.1 || > 2.6。

无符号: 仅接受指定的特定版本（例如 1.2.1）。

latest: 使用可用的最新版本。

依赖包更新

有时候，我们需要更新package.json中指定的依赖包，我们可以使用npm update，按照上一节所讲的规则，npm update只会更新次版本和补丁版本，而不会更新主版本。

并且只会修改package-lock.json，而package.json 则保持不变。

如果要查找package.json中是否有可用的更新，可以使用npm outdated：

npm outdated

Package                   Current  Wanted  Latest  Location
streamsoftco-development   1.0.61  1.0.61   2.0.2  volunteer

如果你想更新到主版本，npm update肯定是做不到的。这时候我们需要一个全局的模块：npm-check-updates：

npm install -g npm-check-updates

然后运行：

ncu -u

这会升级 package.json 文件的 dependencies 和 devDependencies 中的所有版本，以便 npm 可以安装新的主版本。

然后运行：

npm update

即可更新到最新版本。

卸载npm包

有安装就有卸载，我们可以使用：

npm uninstall <package-name>

来方便的卸载npm包。

如果我们添加了--save，还会从pacakge.json中将其移除。

当然，如果你是开发依赖性，那么需要使用--save-dev，如果你是全局选项，则需要添加 -g。

npx包运行器

npx是从npm5.2版本之后引入的一个命令。

npm虽然是强大的包管理工具，但是所有的依赖包都需要下载到本地的node_modules文件夹，非常的不方便。

如果我们只是想运行一下某个依赖包中的命令怎么办？

下载下来太麻烦，所以npx出现了。

JS的依赖包和java不一样，java的依赖一般就是jar文件，而JS的依赖包中除了js文件之外，还可能有可执行文件。

使用npm将lib下载下来之后，我们还需要找到具体的可执行文件的路径才能执行，非常的不方便，使用npx就可以轻松的避免这个问题：

运行 npx commandname 会自动地在项目的 node_modules 文件夹中找到命令的正确引用，而无需知道确切的路径，也不需要在全局和用户路径中安装软件包。

npx还可以不下载依赖文件，直接运行某个命令，并且还可以指定依赖的版本号，从而运行特定的命令：

npx node@12 -v

v12.18.4

当然了，npx不仅仅可以运行npm中的代码，还可以直接从 URL 运行任意代码片段。

比如运行GitHub gist 上面的代码：

npx https://gist.github.com/zkat/4bc19503fe9e9309e2bfaa2c58074d32

注意，运行第三方URL上面的代码一定要保证其安全可靠，否则会产生安全问题。

package.json

package.json文件像是一个项目的管理目录，里面列出了这个项目的一些描述信息，依赖选项和脚本信息。

package.json本身就是一个json文件，我们看一个简单的例子：

{
  "name": "nodejstest",
  "version": "1.0.0",
  "description": "",
  "main": "index.js",
  "scripts": {
    "test": "echo \"Error: no test specified\" && exit 1"
  },
  "keywords": [],
  "author": "",
  "license": "ISC",
  "dependencies": {
    "inquirer": "^7.3.2"
  },
  "devDependencies": {},
  "optionalDependencies": {},
  "bundleDependencies": [
    "inquirer"
  ]
}

这个文件主要有下面几个选项：

name： 程序或者软件包的名字

version： 当前版本号

description：程序的描述信息

main： 程序的入口

private：表示程序是否是私有的，如果是私有的，则不会被发布到npm中去。

scripts： 定义了一些可以直接运行的脚本

dependencies： 该程序依赖的npm包

devDependencies： 该程序的开发依赖包

engines： 该程序运行的nodejs版本号

browserslist： 支持的浏览器版本

package-lock.json

package-lock.json是在nodejs5中引入的。

为什么会有这个文件呢？

我们知道，当我们使用npm install的时候，根据pacakge.json中指定的依赖版本不同，可能会安装不同的依赖包版本。

比如，^0.15.0， 这个表示npm install的时候会安装0.16.0版本。

如果是在团队合作开发的情况下，可能不同的人npm install出来的依赖包版本是不同的。

虽然只是小版本的改变，但是也有可能引入问题。为了解决这个问题，nodejs 引入了package-lock.json。

这个文件里面指定了依赖lib的特定版本号。

{
  "name": "nodejstest",
  "version": "1.0.0",
  "lockfileVersion": 1,
  "requires": true,
  "dependencies": {
    "@types/color-name": {
      "version": "1.1.1",
      "resolved": "https://registry.npm.taobao.org/@types/color-name/download/@types/color-name-1.1.1.tgz",
      "integrity": "sha1-HBJhu+qhCoBVu8XYq4S3sq/IRqA="
    },
    "ansi-escapes": {
      "version": "4.3.1",
      "resolved": "https://registry.npm.taobao.org/ansi-escapes/download/ansi-escapes-4.3.1.tgz",
      "integrity": "sha1-pcR8xDGB8fOP/XB2g3cA05VSKmE=",
      "requires": {
        "type-fest": "^0.11.0"
      }
    },

package-lock.json也是一个json文件，我们可以看到，在dependencies中，不仅指定了版本号，还指定了下载地址，非常的方便。

注意，我们使用npm update的时候，只会更新package-lock.json，不会更新pacakge.json.

有了package-lock.json，下一次执行npm install的时候就会直接从package-lock.json中读取信息。

本文作者：flydean程序那些事

本文链接：www.flydean.com

本文来源：flydean的博客

欢迎关注我的公众号:「程序那些事」最通俗的解读，最深刻的干货，最简洁的教程，众多你不知道的小技巧等你来发现！