npm是当前最稳定、生态最全的JavaScript包管理方案;初始化项目必须运行npm init(推荐-npm init -y),否则缺失package.json将导致协作失败;npm install默认仅按package.json安装依赖且不升级版本,加-D或-S可分别写入devDependencies或dependencies,npm 7+默认启用–save;使用@指定版本可锁定精确版本;package-lock.json是安装快照,不可删除或手动修改,CI/CD中必须提交;npm ci专用于CI,直接按lock文件安装;正确区分dependencies与devDependencies至关重要,直接影响上线运行与打包体积。
npm 不是唯一选择,但它是目前最稳定、生态最全的 JavaScript 包管理方案;如果你刚接触依赖管理,直接用 npm 就行,别被 yarn 或 pnpm 的“更快”宣传带偏节奏。
初始化项目时必须运行 npm init
不执行这一步,node_modules 会照常安装,但 package.json 缺失会导致后续协作出问题——别人 clone 项目后运行 npm install 会失败,因为没清单文件可读。
-
npm init -y可跳过交互式提问,适合快速起步 - 手动创建
package.json不推荐:字段顺序、引号风格、缺失type(影响 ES 模块解析)都容易出错 - 如果已有
package.json但想重置依赖记录,删掉node_modules和package-lock.json后再跑一次npm install
npm install 默认行为和常见陷阱
npm install(不带参数)只从 package.json 里读取 dependencies 和 devDependencies 安装,不会更新已安装包的版本。很多人误以为它能“自动升级”,结果长期卡在旧版。
- 加
--save-dev(或简写-D)才写入devDependencies,比如npm install eslint -D - 加
--save(或简写-S)写入dependencies,但 npm 7+ 已默认启用,不用显式加 - 直接
npm install some-package会按^规则安装兼容版本,例如"lodash": "^4.17.21"可能装到4.18.0,有 breaking change 风险 - 想锁定精确版本?用
npm install some-package@4.17.21,它会在package.json写死"lodash": "4.17.21"
package-lock.json 不能删,也不该手动改
它不是缓存,而是安装结果的权威快照。删了它,下次 npm install 会重新解析依赖树,可能装出不同版本——尤其当某个间接依赖发布了新版,而你本地没锁住它的子依赖时。
JTBC CMS(5.0) 是一款基于PHP和MySQL的内容管理系统原生全栈开发框架,开源协议为AGPLv3,没有任何附加条款。系统可以通过命令行一键安装,源码方面不基于任何第三方框架,不使用任何脚手架,仅依赖一些常见的第三方类库如图表组件等,您只需要了解最基本的前端知识就能很敏捷的进行二次开发,同时我们对于常见的前端功能做了Web Component方式的封装,即便是您仅了解HTML/CSS也
立即学习“Java免费学习笔记(深入)”;
- CI/CD 流程中必须提交
package-lock.json,否则构建环境和本地不一致 - 合并分支后如果
package-lock.json冲突,别手修,用npm install重新生成(前提是package.json已正确合并) -
npm ci命令专为 CI 设计:跳过package.json解析,直接按package-lock.json安装,更快更确定
真正难的不是命令怎么敲,而是搞清哪些依赖该进 dependencies、哪些只能进 devDependencies——漏放一个生产依赖,上线就报 Cannot find module;多放一个开发工具进生产,打包体积会无谓增大。这个边界得靠实际运行环境判断,不是看文档就能抄对的。