npm install 和 npm ci
一. npm install
npm install 更新策略:
- 执行npm install的时候,会先比较package.json和package-lock.json,
- 如果package-lock.json里面的版本符合package.json的要求,那么就会安装package-lock.json的版本;那么,这个内容是从哪里来的呢?答案是优先从.npmrc里来,即缓存里。同时安装缓存文件里的版本更新package-lock.json;
- 如果不符合,那么就会安装package.json中的版本,并更新package-lock.json。这个内容就应该是从网路里来了。
npm install的整体流程:
检查 .npmrc 文件:优先级为:项目级的 .npmrc 文件 > 用户级的 .npmrc 文件> 全局级的 .npmrc 文件 > npm 内置的 .npmrc 文件
检查项目中有无 lock 文件:
-
无 lock 文件:
-
从 npm 远程仓库获取包信息
-
根据 package.json 构建依赖树,构建过程:
- 构建依赖树时,不管其是直接依赖还是子依赖的依赖,优先将其放置在 node_modules 根目录。
- 当遇到相同模块时,判断已放置在依赖树的模块版本是否符合新模块的版本范围,如果符合则跳过,不符合则在当前模块的 node_modules 下放置该模块。
注意这一步只是确定逻辑上的依赖树,并非真正的安装,后面会根据这个依赖结构去下载或拿到缓存中的依赖包
-
在缓存中依次查找依赖树中的每个包
-
- 生成 lock 文件
-
有 lock 文件:
- 检查 package.json 中的依赖版本是否和 package-lock.json 中的依赖有冲突。
- 如果没有冲突,直接跳过获取包信息、构建依赖树过程,开始在缓存中查找包信息,后续过程相同。
npm 提供了几个命令来管理缓存数据:
-
npm cache add:官方解释说这个命令主要是 npm 内部使用,但是也可以用来手动给一个指定的 package 添加缓存。
-
npm cache clean:删除缓存目录下的所有数据,为了保证缓存数据的完整性,需要加上 --force 参数。
-
npm cache verify:验证缓存数据的有效性和完整性,清理垃圾数据。
基于缓存数据,npm 提供了离线安装模式,分别有以下几种:
-
–prefer-offline:优先使用缓存数据,如果没有匹配的缓存数据,则从远程仓库下载。
-
–prefer-online:优先使用网络数据,如果网络数据请求失败,再去请求缓存数据,这种模式可以及时获取最新的模块。
-
–offline:不请求网络,直接使用缓存数据,一旦缓存数据不存在,则安装失败。
二. npm ci
npm ci 和 npm install 类似,都可以用来安装依赖。但npm ci旨在用于自动化环境,如测试平台,持续集成和部署。它比常规的 npm install 安装快,也比常规安装更严格。
npm ci与npm install主要有以下的区别:
- npm i依赖package.json,而npm ci依赖package-lock.json。
- 当package-lock.json中的依赖和package.json不一致时,npm ci退出但不会修改package-lock.json。
- npm ci只可以一次性的安装整个项目依赖,无法添加单个依赖项。
- npm ci安装包之前,会删除掉node_modules文件夹,因此它不需要去校验已下载文件版本与控制版本的关系,也不用校验是否存在最新版本的库,所以下载的速度更快。
- npm ci安装时,不会修改package.json与package-lock.json。
参考自:https://godrry.com/archives/in-short-the-overall-process-of-npm-install.html
总结:
1. npm install
- 先看有无锁文件;
- 如果有,则对比package.json和package-lock.json,
- 如果package-lock.json包版本号符合package.json要求,如果有缓存文件,则从缓存文件中拉取内容,否则从远程拉取;并更改package-lock版本号。
- 如果版本号不符合要求,则直接从远程拉取,本更新package-lock版本号。