什么是 npm？一文带你了解 – wiki基地

---

什么是 npm？一文带你了解 Node.js 包管理器

在现代 JavaScript 开发领域，无论你是涉足前端还是后端（Node.js），几乎不可能绕开一个工具——npm。它不仅仅是一个命令行工具，更是整个 JavaScript 生态系统中不可或缺的一部分。但 npm 到底是什么？它解决了什么问题？我们为什么需要它？本文将带你深入探索 npm 的世界，从基础概念到高级用法，全面解析这个强大的包管理器。

1. 混沌初开：为什么需要包管理器？

在 npm 出现之前，或者说在广泛采用包管理器之前，JavaScript 项目面临着许多挑战：

• 依赖管理混乱： 你的项目可能依赖于 jQuery、lodash、moment.js 等许多第三方库。你需要在它们的官方网站上下载 .js 文件，手动引入到项目中。如果一个库依赖另一个库，你需要找到并下载所有依赖项，并确保它们的版本兼容。这很快就会变成一场噩梦，尤其是当项目依赖复杂且数量庞大时，俗称“依赖地狱”（Dependency Hell）。
• 代码复用困难： 开发者很难方便地分享和使用其他人的代码模块。复制粘贴代码是常见的做法，但这会导致维护困难、错误传播，并且难以接收上游的更新。
• 版本控制难题： 手动管理库的版本非常繁琐。更新一个库可能破坏依赖于它的其他库，回滚到旧版本也充满风险。
• 项目初始化和构建： 创建一个新项目、配置开发环境、运行测试、打包代码等任务都需要手动设置，流程不统一且容易出错。

想象一下，你要盖一栋房子，需要的不仅仅是砖头和水泥，还需要水管、电线、门窗、油漆等等。手动去不同的供应商那里采购、运输、核对规格，会耗费巨大精力。包管理器就像一个大型建材市场和物流系统，你只需要列出你需要的材料清单（依赖项），它就能帮你找到、下载、安装，并确保它们大体上是兼容的。

2. npm 登场：定义与核心组成

npm，全称 Node Package Manager，是 Node.js 的官方包管理器。它最初是为 Node.js 环境设计的，用于管理 Node.js 模块，但随着前端开发的快速发展，npm 已经成为前端项目（如 React、Vue、Angular）以及任何使用 JavaScript 的项目（如构建工具 Grunt、Gulp、Webpack，以及无数命令行工具）的标准包管理器。

npm 主要由以下三个核心部分组成：

• npm Registry（注册表）： 这是一个巨大的在线数据库，存储了全球开发者共享的 JavaScript 软件包（或称模块/包）。你可以把它想象成一个巨大的代码仓库，任何人都可以发布自己的包，也可以下载别人发布的包。截至目前（写作时），npm Registry 已经拥有超过 200 万个包，并且数量还在快速增长。这是 npm 生态系统的核心，提供了海量的可复用代码资源。
• npm CLI（命令行工具）： 这是我们平时在终端中使用的 npm 命令。它是与 npm Registry 进行交互的接口，用于安装、发布、管理软件包，以及运行项目脚本等。当你运行 npm install <package> 时，就是通过 npm CLI 从 npm Registry 下载软件包到你的项目中。
• npm Website（网站）： npm 的官方网站（https://www.npmjs.com/）提供了搜索包、查看包的文档、用户账户管理、查看统计数据等功能。你可以在网站上找到你需要的包，了解如何使用它，以及它的版本、依赖、下载量等信息。

简单来说，npm CLI 是我们与 Registry 交流的“翻译官”，而 Registry 则是所有包的“图书馆”，npm Website 则是图书馆的“目录和阅读室”。

3. npm 的核心概念

理解 npm 的使用，需要先掌握几个核心概念：

3.1. 包 (Package / Module)

在 npm 的语境下，一个“包”通常是指一个包含特定功能、符合 CommonJS 或 ES Module 规范的 JavaScript 模块或一组文件，通常包括代码、package.json 文件、README 文件、LICENSE 文件等。这些文件会被打包成一个压缩文件（通常是 .tgz 格式），然后发布到 npm Registry。

一个包可以是一个小型工具函数，一个大型的框架，一个命令行工具，或者任何可以独立存在并被其他项目引用的代码集合。

3.2. package.json

package.json 文件是每个 npm 项目的“身份证”或者说“清单文件”。它位于项目的根目录下，是一个 JSON 格式的文件，包含了关于项目本身的元数据以及项目所依赖的所有第三方包的信息。它是 npm 理解你的项目的关键。

一个典型的 package.json 文件可能包含以下重要字段：

• name: 项目的名称。
• version: 项目的当前版本。遵循 SemVer 规范。
• description: 项目的简短描述。
• keywords: 与项目相关的关键词，有助于在 npm 搜索中找到。
• homepage: 项目的主页 URL。
• bugs: 项目的 bug 追踪地址。
• license: 项目的开源许可证。
• author: 项目的作者信息。
• repository: 项目的代码仓库地址（如 Git）。
• scripts: 定义可执行的脚本命令，如启动开发服务器、运行测试、构建项目等（非常重要！）。
• dependencies: 列出项目在生产环境运行时需要的所有依赖包及其版本范围。
• devDependencies: 列出项目在开发和测试阶段需要的依赖包及其版本范围，例如构建工具、测试框架、代码规范检查工具等。
• peerDependencies: 列出宿主环境需要满足的依赖，例如一个 React 组件库会把 React 列在 peerDependencies 中，表示“我需要和 React 17 或 18 一起使用”。
• optionalDependencies: 可选的依赖，即使安装失败也不会影响主流程，但在可用时会提供额外功能。
• engines: 指定项目运行所需的 Node.js 或 npm 版本范围。

package.json 不仅记录了项目的依赖，还定义了项目的行为（通过 scripts），是项目协作和环境搭建的基础。当你克隆一个包含 package.json 的项目时，只需运行 npm install，npm 就会读取文件中的依赖信息，自动下载并安装所有必需的包。

3.3. 依赖类型 (Dependencies)

前面提到了 dependencies 和 devDependencies，这是最常见的两种依赖类型。理解它们的区别很重要：

• dependencies: 这些是你的项目在生产环境（即用户实际运行你的应用时，比如运行 Node.js 服务器或用户访问前端网站）正常工作所必需的包。例如，一个 Express 后端应用会把 express 放在 dependencies 中。一个使用 Vue 的前端应用会把 vue 放在 dependencies 中。
• devDependencies: 这些是你项目在开发或构建阶段所需的包。它们不包含在最终的生产代码中。例如，Webpack、Babel、ESLint、Jest 等工具通常放在 devDependencies 中。当你安装一个包时，可以使用 npm install <package> --save-dev 或 npm install <package> -D 将其添加到 devDependencies。

通过区分这两种类型，可以减小生产环境部署的代码体积，提高效率。当只安装生产依赖时（例如在服务器上运行 npm install --production），npm 只会安装 dependencies 中的包。

还有一些不常用的依赖类型，如 peerDependencies 和 optionalDependencies，它们用于更复杂的场景，比如库的开发或插件系统。

3.4. 版本控制与 SemVer

版本控制是依赖管理的核心挑战之一。npm 广泛采用了 Semantic Versioning (SemVer)，即语义化版本控制。SemVer 的版本号格式是 MAJOR.MINOR.PATCH，例如 1.2.3。

• MAJOR (主版本号): 当你做了不兼容的 API 修改时，增加主版本号。例如，从 1.x.x 到 2.0.0。升级主版本号通常需要修改你的代码来适应新的 API。
• MINOR (次版本号): 当你向下兼容地增加了新功能时，增加次版本号。例如，从 1.2.x 到 1.3.0。升级次版本号通常是安全的，不会破坏现有功能。
• PATCH (修订号): 当你做了向下兼容的 Bug 修复时，增加修订号。例如，从 1.2.3 到 1.2.4。升级修订号是最安全的，只包含错误修复。

在 package.json 中，我们可以使用特定的符号来指定依赖的版本范围：

• 1.2.1: 精确匹配 1.2.1 版本。
• ^1.2.1: 匹配主版本号为 1 的最新版本，但不低于 1.2.1。如果发布了 1.3.0 或 1.2.5，都会安装，但不会安装 2.0.0。这是 npm install 默认的行为（npm v5 及以后）。
• ~1.2.1: 匹配主版本号和次版本号都与指定版本相同的最新版本，但不低于 1.2.1。例如，会匹配 1.2.5，但不会匹配 1.3.0。
• >: 大于指定版本。
• <: 小于指定版本。
• >=: 大于或等于指定版本。
• <=: 小于或等于指定版本。
• *: 匹配所有版本（不推荐，风险太高）。
• -: 范围，例如 1.2.1 - 1.3.0。
• ||: 组合范围，例如 ^1.2.1 || ^2.0.0。

使用版本范围，特别是 ^ 和 ~，可以在一定程度上确保依赖的稳定性和获取最新的 Bug 修复/功能，但也可能引入不兼容的次版本号或修订号更新（尽管 SemVer 规范是这样定义的，但并不是所有包都严格遵守）。

3.5. node_modules

当你运行 npm install 命令后，npm 会创建一个名为 node_modules 的文件夹在项目根目录下（或者全局安装时在系统目录下）。所有安装的依赖包及其依赖都会被下载并存放在这个文件夹里。

node_modules 文件夹的结构可能会非常深和嵌套，因为每个包可能有自己的依赖，而这些依赖可能又有自己的依赖。npm 早期版本会严格按照依赖树的结构来嵌套，导致路径非常长。npm v3 及以后版本引入了“扁平化”的安装方式，尽量将依赖安装在顶层 node_modules 目录下，只有当不同包需要同一个依赖的不同不兼容版本时，才会出现嵌套。

node_modules 文件夹通常非常大，因为它包含了项目及其所有依赖的所有代码。因此，在进行版本控制时，我们通常会将 node_modules 文件夹添加到 .gitignore 文件中，不同步到 Git 仓库。其他协作者克隆代码后，只需运行 npm install 即可重建 node_modules 文件夹。

3.6. 锁定文件 (Lock File)

尽管 package.json 使用版本范围来指定依赖，但这并不能保证每次安装时都能得到完全相同的依赖树。例如，^1.2.1 可能会安装 1.2.5 或 1.3.0，这取决于 Registry 中当时可用的最新版本。这可能导致在不同时间和不同机器上安装同一个项目时，最终安装的依赖版本不同，从而引入难以追踪的问题。

为了解决这个问题，npm 引入了锁定文件：package-lock.json (npm v5 及以后版本默认生成)。

package-lock.json 文件记录了项目安装时，每个依赖包的确切版本号、下载地址、SHA-1 散列值以及它自己的依赖关系。这个文件是自动生成和更新的，不应该手动修改。

当 package-lock.json 存在时，npm install 命令会优先按照锁定文件中记录的确切版本来安装依赖，而不是去计算 package.json 中指定的版本范围。这确保了团队成员在不同机器、不同时间点安装依赖时，都能得到完全一致的依赖树，从而提高了项目的可复现性和稳定性。

因此，package-lock.json 文件应该提交到版本控制系统（Git 仓库）中，与 package.json 一起。

npm 早期版本使用 npm-shrinkwrap.json 来实现类似的功能，但现在 package-lock.json 是更推荐和默认的方式。

4. 常用 npm 命令详解

掌握 npm CLI 是高效开发的基础。以下是一些最常用和最重要的命令：

4.1. npm init

• 作用： 在一个新目录中创建一个 package.json 文件。
• 用法： npm init
• 详解： 运行此命令后，npm 会以交互式的方式询问你关于项目的名称、版本、描述、入口文件等信息，并根据你的输入生成 package.json 文件。
• 快捷方式： npm init -y 可以跳过交互式问答，使用默认值快速生成 package.json 文件。

4.2. npm install

• 作用： 安装项目的依赖包。
• 用法：
  • npm install 或 npm i: 在项目根目录下运行，会读取 package.json 文件中的 dependencies 和 devDependencies，并根据 package-lock.json 或版本范围安装所有依赖。
  • npm install <package> 或 npm i <package>: 安装指定的包，并将其添加到 package.json 的 dependencies 中（npm v5 及以后默认行为，之前需要 --save）。
  • npm install <package> --save-dev 或 npm i <package> -D: 安装指定的包，并将其添加到 package.json 的 devDependencies 中。
  • npm install <package> --global 或 npm i <package> -g: 全局安装指定的包。全局安装的包通常是命令行工具，安装后可以在系统的任何地方使用，而不是仅限于当前项目。例如，安装 Vue CLI (npm install @vue/cli -g)。
  • npm install <package>@<version>: 安装指定包的指定版本。例如 npm install [email protected]。
  • npm install <package>@<tag>: 安装指定包的某个标签版本，例如 npm install react@latest 或 npm install react@next。
  • npm install <git-url>: 从 Git 仓库安装包。
  • npm install <tarball-path>: 安装本地 tarball 文件。
• 详解： 这是最常用的命令。第一次克隆项目后，你需要运行 npm install 来安装所有依赖。安装过程会下载包到 node_modules 文件夹，并更新或生成 package-lock.json 文件。

4.3. npm uninstall

• 作用： 卸载项目中的包。
• 用法：
  • npm uninstall <package> 或 npm un <package>: 卸载指定的包，并从 package.json 的 dependencies 和 devDependencies 中移除记录，同时更新 package-lock.json。
  • npm uninstall <package> --global 或 npm un <package> -g: 全局卸载指定的包。
• 详解： 用于移除不再需要的依赖。

4.4. npm update

• 作用： 更新项目的依赖包。
• 用法：
  • npm update: 根据 package.json 中指定的版本范围，更新所有依赖到符合范围的最新版本，并更新 package-lock.json。
  • npm update <package>: 更新指定的包到符合 package.json 中版本范围的最新版本。
• 详解： 这个命令会检查 Registry 中是否有比当前安装版本更新且符合 package.json 中版本范围的版本。注意：由于 ^ 符号的存在，npm update 可能会将次版本号或修订号提升。为了更安全地更新，或者跨主版本号更新，通常更推荐手动编辑 package.json 然后运行 npm install，或者使用如 npm-check-updates 这样的工具来辅助更新。

4.5. npm publish

• 作用： 将你的包发布到 npm Registry，供其他人使用。
• 用法： npm publish
• 详解： 在发布之前，你需要确保你的包符合 npm 包的结构（包含 package.json），并且你在 npm 网站上注册了账号，并通过 npm login 命令登录。发布时，npm 会读取 package.json 中的信息，并将当前目录下的文件打包上传到 Registry。注意： 发布前请确保 package.json 中的 name 是唯一的，并且 version 是新的（比 Registry 中同名包的最新版本高）。

4.6. npm run

• 作用： 运行在 package.json 的 scripts 字段中定义的脚本命令。
• 用法： npm run <script-name>
• 详解： scripts 字段是 package.json 中非常强大的一个功能，它允许你定义各种任务脚本，如启动开发服务器 (start)、运行测试 (test)、构建项目 (build)、代码检查 (lint) 等。
  json
"scripts": {
"start": "node index.js",
"dev": "webpack serve --mode development",
"build": "webpack --mode production",
"test": "jest",
"lint": "eslint ."
}
  然后你就可以通过 npm run start、npm run dev、npm run build、npm run test、npm run lint 来执行相应的任务。
  快捷方式： start 和 test 是两个特殊的脚本名，可以直接使用 npm start 和 npm test 运行，不需要加 run。
  npm run 的一个重要特性是，它会自动将 node_modules/.bin 目录添加到系统的 PATH 环境变量中（仅限当前脚本执行时），这意味着你可以在 scripts 中直接使用那些安装在项目依赖中的可执行文件，而无需指定它们的完整路径。例如，如果你安装了 webpack 作为 devDependencies，在 scripts 中就可以直接写 webpack ...。

4.7. npm search

• 作用： 在 npm Registry 中搜索包。
• 用法： npm search <keyword>
• 详解： 根据关键词搜索相关的包，并显示包的名称、版本、描述等信息。

4.8. npm info

• 作用： 查看包的详细信息。
• 用法： npm info <package>
• 详解： 显示指定包的所有版本、依赖、作者、关键词等元数据信息。

4.9. npm audit

• 作用： 检查项目依赖中的安全漏洞。
• 用法：
  • npm audit: 运行一次安全审计，报告发现的漏洞及其严重程度。
  • npm audit fix: 尝试自动修复发现的漏洞，通常通过将有漏洞的包更新到没有漏洞的最新版本来完成。
• 详解： npm Registry 维护着一个已知的安全漏洞数据库。npm audit 命令会检查你的项目依赖树中是否存在已知漏洞的包，并提供修复建议。这是一个非常重要的安全实践。

4.10. npm ci

• 作用： 清洁安装依赖，主要用于持续集成/部署环境。
• 用法： npm ci
• 详解： npm ci 与 npm install 的主要区别在于：
  • 它会删除现有的 node_modules 文件夹，然后重新安装。
  • 它必须依赖 package-lock.json (或 npm-shrinkwrap.json) 文件来确定安装的版本，如果锁定文件不存在或与 package.json 不一致，会报错。
  • 它安装的速度通常比 npm install 快。
  • 它不会修改 package.json 或 package-lock.json 文件。
    npm ci 的设计目的是为了在自动化环境中（如 CI 服务器）提供可靠且可重复的构建结果，确保每次安装的依赖环境完全一致。在本地开发环境中，npm install 更常用，因为它更灵活（可以安装新包，更新包等）。

4.11. npm link

• 作用： 在本地创建一个全局链接，将本地开发的包链接到另一个项目中进行测试，无需发布到 Registry。
• 用法：
  • 在一个包的根目录下运行 npm link: 将当前本地包全局链接到系统 npm 目录下。
  • 在另一个项目目录下运行 npm link <package-name>: 将当前项目中的 node_modules/<package-name> 目录链接到全局链接的本地包。
• 详解： 这对于同时开发一个库并在另一个应用中测试这个库非常有用。修改库的代码后，应用中会立即反映，无需重新安装或发布。

5. 深入理解：npm 的工作原理

当我们运行 npm install 命令时，npm 大致会经历以下几个阶段：

1. 树结构解析： npm 首先解析 package.json 文件，构建一个理想的依赖树（Ideal Tree），其中包含了项目及其所有依赖、依赖的依赖等，以及它们所需的版本范围。如果存在 package-lock.json，它会作为构建理想树的基础，确保版本被锁定。
2. 获取包信息： 对于理想树中的每个包，npm 会查询 npm Registry，获取包的所有可用版本信息。
3. 版本选择： 根据 package.json 中指定的版本范围 (^, ~ 等) 和 package-lock.json 中的锁定版本，npm 确定需要安装的每个包的具体版本。这个过程会尽量扁平化依赖树，将兼容的依赖安装到顶层 node_modules 目录。
4. 下载： npm 从 Registry 下载选定版本的包的压缩文件（.tgz 格式）。这些文件通常会被缓存起来，以便下次安装时可以加速。
5. 解压与安装： 下载完成后，npm 将压缩文件解压到 node_modules 目录下的相应位置。
6. 依赖处理： 对于解压后的每个包，如果它有自己的依赖（在其自身的 package.json 中指定），npm 会递归地重复上述过程，直到所有依赖都被安装。
7. 生成/更新锁定文件： 如果安装成功，npm 会生成或更新 package-lock.json 文件，精确记录当前安装的依赖树结构和版本信息。

这个过程确保了 node_modules 目录包含了项目运行所需的所有代码。

6. npm 的替代品：Yarn 与 pnpm

虽然 npm 是最常用的 JavaScript 包管理器，但市场上也出现了其他优秀的替代品，其中最著名的两个是 Yarn 和 pnpm。它们的目标与 npm 类似，但可能在性能、安全性或磁盘空间利用上有不同的优化。

• Yarn: 由 Facebook (Meta) 开发，旨在解决 npm 早期版本在速度和可靠性上的不足。Yarn 引入了 yarn.lock 文件（功能类似于 package-lock.json），并行下载依赖以加速安装，并提供离线模式。Yarn 曾经在速度和确定性上领先 npm，但随着 npm 的不断改进，两者的差距已经缩小。Yarn v2+ 引入了 Plug’n’Play (PnP) 特性，尝试完全消除 node_modules 文件夹。
• pnpm: 一个更新的包管理器，其核心理念是内容可寻址存储（Content-addressable storage）。pnpm 在全局存储中保存每个包的单个副本，然后在项目的 node_modules 中通过硬链接引用这些副本。这极大地节省了磁盘空间，并且安装速度通常比 npm 和 Yarn 都快，因为它避免了大量重复的下载和复制。pnpm 的 node_modules 结构也不是扁平化的，而是使用了符号链接来保持依赖树的逻辑结构，这有时可以避免“幽灵依赖”问题（即项目意外地使用了没有直接声明在 package.json 中的依赖）。

选择哪个包管理器取决于个人或团队的偏好、项目需求以及对新特性的接受程度。对于大多数项目来说，npm 已经足够强大和稳定。

7. 最佳实践

使用 npm 的一些建议：

• 始终提交 package.json 和 package-lock.json 到版本控制系统。 这是保证项目可复现性的关键。
• 理解 SemVer。 这有助于你安全地管理依赖版本和进行更新。
• 区分 dependencies 和 devDependencies。 这有助于减小生产环境的部署体积。
• 使用 npm ci 在自动化环境中安装依赖。 这确保了构建环境的一致性。
• 定期运行 npm audit。 检查并修复项目中的安全漏洞。
• 充分利用 scripts 字段。 将常用的开发、构建、测试任务定义在 package.json 中，提高团队协作效率和项目一致性。
• 发布自己的包前，仔细检查 package.json。 确保名称、版本、描述、入口文件等信息准确无误。
• 合理使用版本范围。 ^ 符号通常是合理的默认选择，但在对稳定性要求极高的场景，可以考虑更严格的版本锁定。

8. 总结

npm 不仅仅是一个简单的工具，它是现代 JavaScript 生态的基石。它通过提供一个中心化的 Registry 和强大的命令行工具，极大地简化了包的查找、安装、管理和发布过程。它解决了手动管理依赖的诸多痛点，提高了开发效率和代码复用性。

从最初的 Node.js 模块管理器，到如今涵盖前端、后端、构建工具等几乎所有 JavaScript 项目的通用包管理器，npm 伴随着 JavaScript 生态的繁荣而不断发展。理解并熟练使用 npm，是成为一名现代 JavaScript 开发者必备的技能。通过掌握 package.json、node_modules、SemVer、锁定文件以及各种 npm 命令，你就能更好地管理项目依赖，提高开发效率，并安全可靠地构建你的应用。

希望本文能帮助你全面理解 npm，并能在你的开发旅程中更好地利用这个强大的工具。