ES Module使用-原理-包管理工具npm(二)

简介: ES Module使用-原理-包管理工具npm

ES Module使用-原理-包管理工具npm(一)https://developer.aliyun.com/article/1470450

(了解)项目配置文件字段-版本管理和其他属性

依赖的版本管理

  • 我们会发现安装的依赖版本出现:^2.0.3或~2.0.3,这是什么意思呢?
  • npm的包通常需要遵从semver版本规范:
  • semver版本规范是X.Y.Z:
  • X主版本号(major):当你做了不兼容的 API 修改(可能不兼容之前的版本)
  • Y次版本号(minor):当你做了向下兼容的功能性新增(新功能增加,但是兼容之前的版本)
  • Z修订号(patch):当你做了向下兼容的问题修正(没有新功能,修复了之前版本的bug)
  • 我们这里解释一下 ^和~的区别:
  • x.y.z:表示一个明确的版本号
  • ^x.y.z:表示x是保持不变的,y和z永远安装最新的版本
  • ~x.y.z:表示x和y保持不变的,z永远安装最新的版本

少用的属性

  • engines属性
  • engines属性用于指定Node和NPM的版本号
  • 在安装的过程中,会先检查对应的引擎版本,如果不符合就会报错
  • 事实上也可以指定所在的操作系统 "os" : [ "darwin", "linux" ],只是很少用到
  • browserslist属性
  • 用于配置打包后的JavaScript浏览器的兼容情况,参考
  • 否则我们需要手动的添加polyfills来让支持某些语法
  • 也就是说它是为webpack等打包工具服务的一个属性(这里不是详细讲解webpack等工具的工作原理,所以不再给出详情)

(掌握)npm安装包的细节补充

npm install 命令

  • 安装npm包分两种情况:
  • 全局安装(global install): npm install webpack -g
  • 项目(局部)安装(local install): npm install webpack
  • 全局安装
  • 全局安装是直接将某个包安装到全局:
  • 比如全局安装yarn:
npm install yarn -g


  • 但是很多人对全局安装有一些误会:
  • 通常使用npm全局安装的包都是一些工具包:yarn、webpack等
  • 并不是类似于 axios、express、koa等库文件
  • 所以全局安装了之后并不能让我们在所有的项目中使用 axios等库

项目安装

  • 项目安装会在当前目录下生成一个 node_modules 文件夹,我们之前讲解require查找顺序时有讲解过这个包在什么情况下被查找
  • 局部安装分为开发时依赖和生产时依赖:
//默认安装开发环境
npm install axios
npm i axios
//开发依赖
npm install webpack --save-dev
npm install webpack -D
npm i webpack -D
//根据package.json中的依赖包
npm install


(理解)package.json文件的作用

package-lock.json

  • package-lock.json文件解析:

package-lock.json文件属性

意思

name

项目名称

version

项目的版本

lockfileVersion

lock文件的版本

requires

使用requires来跟踪模块的依赖关系

dependencies

项目的依赖(当前包对其他包的依赖)

  • 当前项目依赖axios,但是axios依赖follow-redireacts

axios中的属性

意思

version

表示实际安装的axios的版本

resolved

用来记录下载的地址,registry仓库中的位置

requires(需要)/dependencies

记录当前模块的依赖

integrity(完整)

用来从缓存中获取索引,再通过索引去获取压缩包文件

  • 这个文件我们是不会手动去修改他的,但是作为理解还是有必要的

(理解)npm install的安装原理

npm install 原理

  • 很多同学之前应该已经会了 npm install ,但是你是否思考过它的内部原理呢?
  • 执行 npm install它背后帮助我们完成了什么操作
  • 我们会发现还有一个称之为package-lock.json的文件,它的作用是什么?
  • 从npm5开始,npm支持缓存策略(来自yarn的压力),缓存有什么作用呢?
  • 这是一幅的根据 npm install 的原理图:

压缩到node_modules写错了,是将压缩包解压到node_modules


npm install 原理图解析

  • npm install会检测是有package-lock.json文件:
  • 没有lock文件
  1. 分析依赖关系,这是因为我们可能包会依赖其他的包,并且多个包之间会产生相同依赖的情况;
  2. 从registry仓库中下载压缩包(如果我们设置了镜像,那么会从镜像服务器下载压缩包);
  3. 获取到压缩包后会对压缩包进行缓存(从npm5开始有的),下次再下载的时候就从缓存里面拿(现在npm已经是8版本了)
  4. 将压缩包解压到项目的node_modules文件夹中(前面我们讲过,require的查找顺序会在该包下面查找)
  • 有lock文件
  1. 检测lock中包的版本是否和package.json中一致(会按照semver版本规范检测)
  • 不一致,那么会重新构建依赖关系,直接会走顶层的流程
  1. 一致的情况下,会去优先查找缓存
  • 没有找到,会从registry仓库下载,直接走顶层流程;
  1. 查找到,会获取缓存中的压缩文件,并且将压缩文件解压到node_modules文件夹中;

(理解)npm其他命令的解析和查看

npm其他命令

  • 我们这里再介绍几个比较常用的:
  • 卸载某个依赖包:
npm uninstall package
npm uninstall package --save-dev
npm uninstall package -D
  • 强制重新build
npm rebuild
  • 清除缓存
npm cache clean
  • npm的命令其实是非常多的:

yarn工具

  • 另一个node包管理工具yarn:
  • yarn是由Facebook、Google、Exponent 和 Tilde 联合推出了一个新的 JS 包管理工具
  • yarn 是为了弥补 早期npm 的一些缺陷而出现的
  • 早期的npm存在很多的缺陷,比如安装依赖速度很慢、版本依赖混乱等等一系列的问题
  • 虽然从npm5版本开始,进行了很多的升级和改进,但是依然很多人喜欢使用yarn

(了解)cnpm和淘宝镜像的理解

cnpm工具

  • 由于一些特殊的原因,某些情况下我们没办法很好的从 https://registry.npmjs.org下载下来一些需要的包。
  • 查看npm镜像:
npm config get registry # npm config get registry
  • 我们可以直接设置npm的镜像:
npm config set registry https://registry.npm.taobao.org
  • 但是对于大多数人来说(比如我),并不希望将npm镜像修改了:
  • 第一,不太希望随意修改npm原本从官方下来包的渠道
  • 第二,担心某天淘宝的镜像挂了或者不维护了,又要改来改去
  • 这个时候,我们可以使用cnpm,并且将cnpm设置为淘宝的镜像:
npm install -g cnpm --registry=https://registry.npmmirror.com/
cnpm config get registry # https://registry.npmmirror.com/
//可能会变的,比如我现在这里的镜像地址就跟coderwhy的不一样,因为淘宝镜像迁移了

(掌握)npx的使用和scripts创建脚本

npx工具

  • npx是npm5.2之后自带的一个命令
  • npx的作用非常多,但是比较常见的是使用它来调用项目中的某个模块的指令
  • 我们以webpack为例:
  • 全局安装的是webpack5.1.3
  • 项目安装的是webpack3.6.0
  • 如果我在终端执行 webpack --version使用的是哪一个命令呢?
  • 显示结果会是 webpack 5.1.3,事实上使用的是全局的,为什么呢?
  • 原因非常简单,在当前目录下找不到webpack时,就会去全局找,并且执行命令
  • 如何解决这个问题呢?

局部命令的执行

  • 那么如何使用项目(局部)的webpack,常见的是两种方式:
  • 方式一:明确查找到node_module下面的webpack
  • 方式二:在 scripts定义脚本,来执行webpack
  • 方式一:在终端中使用如下命令(在项目根目录下)
./node_modules/.bin/webpack --version


  • 方式二:修改package.json中的scripts
"scripts": {
"webpack": "webpack --version"
}//终端输入就可以变成npm run webpack = webpack --version


  • 方式三:使用npx
npx webpack --version//现在已经集成了,会先从局部开始找


  • npx的原理非常简单,它会到当前目录的node_modules/.bin目录下查找对应的命令

(理解)npm发布自己的包和使用包的过程

  • 注册npm账号:
  • 在命令行登录:
npm login


  • 修改package.json
  • 发布到npm registry上
npm publish


  • 更新仓库:
  • 修改版本号(最好符合semver规范)
  • 重新发布
  • 删除发布的包:
npm unpublish


  • 让发布的包过期:
npm deprecate


(理解)npx命令使用说明和查找问题思路

刚刚在终端(node_modules/webpack5.xx0x(.bin))敲出webpack --version的时候,如果版本不一致,显示的是那个版本呢?局部版本还是全局的?


  • 查找出来是子目录下的局部版本,是由于webpack做出的处理(这个比较特殊,像yarn/babel/lessc之类的都是从全局开始找,会从当前目录往上找而不是往下子目录找)
  • 辩证的思考

(理解)原包管理工具的痛点和pnpm的介绍

什么是pnpm呢?

  • 什么是pnpm呢?我们来看一下官方的解释:
  • pnpm:我们可以理解成是performant npm缩写;

  • pnpm 是一种 JavaScript 包管理工具,它具有以下优点:
  1. 空间效率高:pnpm 使用一个共享的本地存储库来存储所有依赖项,而不是将每个依赖项都安装在项目中。这意味着在多个项目之间共享依赖项时,pnpm 可以极大地减少磁盘空间的使用。(最重要)
  2. 安装速度快:由于 pnmp 只需要安装每个依赖项一次,并且可以在不同的项目之间共享这些依赖项,因此它通常比其他包管理工具的安装速度更快。
  3. 版本控制清晰:pnpm 可以管理项目依赖项的版本,这使得开发人员能够更轻松地了解哪些依赖项被安装在项目中,以及这些依赖项的版本是什么。
  4. 更容易管理依赖项:pnpm 允许开发人员更轻松地管理项目依赖项,因为它可以为每个项目自动创建一个锁文件,该锁文件包含有关每个依赖项及其版本的详细信息。
  5. 对于 monorepo(单个代码库存储多个项目)特别有用:pnpm 可以更轻松地管理多个项目之间共享的依赖项,因此它在 monorepo 中特别有用。

总之,pnpm 可以提供更高效的包管理体验,尤其是对于具有多个项目或使用大量共享依赖项的项目。

  • 哪些公司在用呢?
  • 包括Vue在内的很多公司或者开源项目的包管理工具都切换到了pnpm

(理解)操作系统-硬链接和软链接的概念

操作系统 window(程序) -> 软件

硬链接和软连接的概念

  • 硬链接(hard link):
  • 硬链接(英语:hard link)电脑文件系统中的多个文件平等地共享同一个文件存储单元
  • 删除一个文件名字后,还可以用其它名字继续访问该文件
  • 符号链接(软链接soft link、Symbolic link):
  • 符号链接(软链接、Symbolic link)是一类特殊的文件
  • 包含有一条以绝对路径或者相对路径的形式指向其它文件或者目录的引用

这个硬链接是真实指向硬盘上的数据的(你可以以各种形式的名字去访问),如果修改了一个指向F:/audio/cba.mp4的文件的话,其实就是修改了data的内容,那其他指向F:/audio/cba.mp4的文件内容也会同时被修改。这个跟拷贝一份是不同的概念


软链接就像是快捷方式,只是以绝对路径或者相对路径的形式指向其它文件或者目录

(理解)操作系统-硬链接和软连接的演练

硬链接和软连接的演练

  • 文件的拷贝:文件的拷贝每个人都非常熟悉,会在硬盘中复制出来一份新的文件数据(也就是会造成磁盘的一部分空间)
window: copy foo.js foo_copy.js
macos : cp foo.js foo_copy.js

  • 文件的硬链接
window: mklink /H aaa_hard.js aaa.js//创建硬链接的命令,aaa_hard.js跟aaa.js建立起硬链接
macos : ln foo.js foo_hard.js

  • 文件的软连接:
//需要权限,以管理员身份打开终端
window: mklink aaa_soft.js aaa.js//变成软链接后,类型变成.symlink
macos : ln -s foo.js foo_copy.js
//删除掉源文件,这个软链接就打不开了。相当于下面图片中foo.js被删掉了。foo_soft.js和data之间的联系就断开了

(理解)pnpm的原理-项目多个包建立硬链接

pnpm到底做了什么呢?

  • 当使用 npm 或 Yarn 时,如果你有 100 个项目,并且所有项目都有一个相同的依赖包,那么, 你在硬盘上就需要保存 100 份该相同依赖包的副本
  • 如果是使用 pnpm,依赖包将被 存放在一个统一的位置,因此:
  • 如果你对同一依赖包使用相同的版本,那么磁盘上只有这个依赖包的一份文件
  • 如果你对同一依赖包需要使用不同的版本,则仅有 版本之间不同的文件会被存储起来
  • 所有文件都保存在硬盘上的统一的位置:
  1. 当安装软件包时, 其包含的所有文件都会硬链接到此位置,而不会占用 额外的硬盘空间
  2. 这让你可以在项目之间方便地共享相同版本的 依赖包

(理解)pnpm的创建非扁平化的node_module

pnpm创建非扁平的 node_modules 目录

  • 当使用 npm 或 Yarn Classic 安装依赖包时,所有软件包都将被提升到 node_modules 的 根目录下
  • 其结果是,源码可以访问 本不属于当前项目所设定的依赖包(就是你安装了webpack的时候,同时会下载下来一堆webpack所需要的包,这些不是你主动下载的,但是你也可以访问到,但是这个问题在pnpm中将不复存在,你下载了webpack就只能看到webpack这个文件夹,其他的有真实地址,硬链接指向了磁盘空间,但是他没有创建软链接,你没办法通过软链接找到硬链接再找到硬盘里的内容去调用)

之所以是软链接,是因为真实的地址是由pnpm保管的,这里的只是指向真实地址的软链接,然后真实地址硬链接到硬盘中,这样重复使用的时候就创建软链接就行了,就不会因为多个项目使用重复的包而重复下载包造成的大量空间的浪费了


专业单词

意思

Hidden Folder

隐藏的文件夹

Folder

文件夹

Hard Link

硬链接

Symbolic Link

软链接

Symbolic Link(Pay close attention to the direction of the arrows)

软链接(密切注意箭头的方向)

(掌握)pnpm的常见命令和store存储

pnpm的安装和使用

  • 那么我们应该如何安装pnpm呢?
npm install -g pnpm


  • 以下 是一个与 npm 等价命令的对照表,帮助你快速入门:

npm命令(pkg = package)

pnpm等价命令

npm install

pnpm install

npm install

pnpm add

npm uninstall

pnpm remove

npm run

pnpm


pnpm的存储store

  • 在pnpm7.0之前,统一的存储位置是 ~/.pnpm-score中的
  • 在pnpm7.0之后,统一的存储位置进行了更改:/store
  • 在 Linux 上,默认是 ~/.local/share/pnpm/store
  • 在 Windows 上: %LOCALAPPDATA%/pnpm/store
  • 在 macOS 上: ~/Library/pnpm/store

  • 我们可以通过一些终端命令获取这个目录:获取当前活跃的store目录
pnpm store path//终端输入返回pnpm所在store地址
//store地址就是用来放我们下载的那些包的地方,属于硬链接的那部分,只下载一次供软链接去连接


  • 另外一个非常重要的store命令是prune(修剪):从store中删除当前未被引用的包来释放store的空间
pnpm store prune
目录
相关文章
|
2月前
|
JavaScript 前端开发 Java
npm学习一:npm 包管理工具 学习、使用。
这篇文章介绍了npm的基础知识和常用命令,包括安装包、查看包信息、管理依赖等操作,并提供了如何删除npm安装的镜像以及如何彻底删除node_modules文件夹的具体步骤。
106 2
|
2月前
|
JavaScript 前端开发 Java
npm学习一:npm 包管理工具 学习、使用。
这篇文章是关于npm包管理工具的学习、使用指南,包括npm概述、基础命令和如何安装webpack。
73 3
npm学习一:npm 包管理工具 学习、使用。
|
2月前
|
缓存 JavaScript 前端开发
拿下奇怪的前端报错(三):npm install卡住了一个钟- 从原理搞定安装的全链路问题
本文详细分析了 `npm install` 过程中可能出现的卡顿问题及解决方法,包括网络问题、Node.js 版本不兼容、缓存问题、权限问题、包冲突、过时的 npm 版本、系统资源不足和脚本问题等,并提供了相应的解决策略。同时,还介绍了开启全部日志、使用替代工具和使用 Docker 提供 Node 环境等其他处理方法。
1180 0
|
2月前
|
缓存 资源调度 JavaScript
npx与npm的差异解析,以及包管理器yarn与Node版本管理工具nvm的使用方法详解
npx与npm的差异解析,以及包管理器yarn与Node版本管理工具nvm的使用方法详解
65 0
|
2月前
|
资源调度 前端开发 安全
前端实战:基于Verdaccio搭建私有npm仓库,轻松上传与下载自定义npm插件包
前端实战:基于Verdaccio搭建私有npm仓库,轻松上传与下载自定义npm插件包
130 0
|
3月前
|
数据安全/隐私保护
发布一个npm包
发布一个npm包
123 2
|
5月前
|
运维 Kubernetes Java
阿里云云效操作报错合集之npm包已经发布到了制品仓库,但流水线中拉取依赖时出现404错误,该如何排查
本合集将整理呈现用户在使用过程中遇到的报错及其对应的解决办法,包括但不限于账户权限设置错误、项目配置不正确、代码提交冲突、构建任务执行失败、测试环境异常、需求流转阻塞等问题。阿里云云效是一站式企业级研发协同和DevOps平台,为企业提供从需求规划、开发、测试、发布到运维、运营的全流程端到端服务和工具支撑,致力于提升企业的研发效能和创新能力。
阿里云云效操作报错合集之npm包已经发布到了制品仓库,但流水线中拉取依赖时出现404错误,该如何排查
|
4月前
NPM——删除已发布的包
NPM——删除已发布的包
155 1
|
4月前
|
JavaScript 前端开发 开发者
从零到一:教你如何发布自己的npm插件包
从零到一:教你如何发布自己的npm插件包
|
4月前
|
JavaScript
GitHub——自动发布NPM包
GitHub——自动发布NPM包
38 0