npm是什么

npm是一個包管理工具，開源作者可以把開源包發布在平臺上供其他人下載使用。前端的同學基本都使用過npm，這里就不做過多介紹。日常工作中npm的主要用途就是根據項目的package.json使用npm install去安裝依賴。

npm install可以說是我們使用最頻繁的一個指令。在npm5版本之前,npm install會根據package.json指定的依賴版本去進行安裝。但往往package.json中指定的是一個版本范圍，例如：

"dependencies": {  "packageA": "^2.0.0"},

以上這個 ^2.0.0 指定的范圍是版本號大于等于2.0.0且大版本號為2。即2.6.10這個是符合的，而3.0.0和1.0.0這種是不符合的。
這樣的范圍指定會導致一個問題：A新建了一個項目，生成了上面這份package.json文件，但A安裝依賴的時間比較早，此時packageA的最新版本是2.1.0，該版本與代碼兼容，沒有出現bug。后來B克隆了A的項目，在安裝依賴時packageA的最新版本是2.2.0，那么根據語義npm會去安裝2.2.0的版本，但2.2.0版本的API可能發生了改動，導致代碼出現bug。

這就是package.json會帶來的問題，同一份package.json在不同的時間和環境下安裝會產生不同的結果。

理論上這個問題是不應該出現的，因為npm作為開源世界的一部分，也遵循一個發布原則：相同大版本號下的新版本應該兼容舊版本。即2.1.0升級到2.2.0時API不應該發生變化。

但很多開源庫的開發者并沒有嚴格遵守這個發布原則，導致了上面的這個問題。

lock機制

一個新的事物的誕生都是為了解決一個歷史問題

基于這種狀況，npm5推出了lock機制。在使用npm5.0.0之后的版本時，npm install后會自動生成package-lock.json文件，該文件記錄了當前這次install所安裝的依賴版本號。

例如當package.json的依賴如下：

"dependencies": {  "vue": "^2.0.0" },

install后自動生成的package-lock.json會指定安裝vue2.6.10版本（當前最新）

"dependencies": {  "vue": {   "version": "2.6.10",   "resolved": "https://registry.npm.taobao.org/vue/download/vue-2.6.10.tgz",   "integrity": "sha1-pysaQqTYKnIepDjRtr9V5mGVxjc="  } }

package-lock.json相當于本次install的一個快照，它不僅記錄了package.json指明的直接依賴的版本，也記錄了間接依賴的版本。

如果我們想在不同環境和不同時間下每次install時安裝相同版本的依賴，我們就可以把package-lock.json帶上。

當package.json和package-lock.json同時存在時，npm install會去檢測package-lock.json指定的依賴版本是否在package.json指定的范圍內。如果在，則安裝package-lock.json指定的版本。如果不在，則忽略package-lock.json，并且用安裝的新版本號覆蓋package-lock.json。