Node.js使用npm对包进行管理，全称为Node Package Manager，开发人员可以使用它安装、更新或者卸载Node.js模块。

npm在2020年3月17日被Github收购，而且保证永久免费。在npm仓库中有超过130万个软件包，这是npm成为世界上最大的单一语言代码仓库，并且它几乎有可用于一切的软件包。

package.json文件

在任意空白文件夹下执行npm init -y可以得到如下的package.json文件

image.png

{
  "name": "bach_private_cache",
  "version": "1.0.0",
  "description": "",
  "main": "index.js",
  "scripts": {
    "test": "echo "Error: no test specified" && exit 1"
  },
  "keywords": [],
  "author": "",
  "license": "ISC"
}

对于Node.js程序，package.json文件中的内容没有固定要求，唯一的要求是必须遵守JSON格式，否则，代码访问可能不能按预期访问该文件。

package.json文件中的属性含义

json文件中是不支持注释的，以下只是为了方便映射阅读

  "name": "packageName",//应用程序或者软件包的名称。名称必须少于214个字符，且不能包含空格，只能含小写字母，连字符或下划线
  "version": "1.0.0",// 当前版本，该属性遵循语义版本控制法，始终以三个数字(x.x.x)表示版本号，第一个数字表示主版本号，第二个数字表示次版本号，第三个数字表示修订号。
  "description": "",// 应用程序/软件包的简短描述。如果要将软件包发布到npm，该属性将告知使用这软件包的具体作用
  "main": "index.js",// 设置应用程序的入口文件，通常是index.js
  "scripts": {// 定义一组可以运行的Node.js脚本
    "test": "echo \"Error: no test specified\" && exit 1",
    "dev": "webpack",
    "start": "cross-env NODE_ENV=development webpack serve",
    "build": "cross-env NODE_ENV=production MY_ENV=pro webpack ",
    "debug": "node --inspect-brk=5858 ./node_modules/webpack/bin/webpack"
  },
  "keywords": [],// 关键字数组，用于npm搜索,包含与软件包功能相关的关键字数组
  "author": "",//软件包的作者
  "license": "ISC",//软件包的许可证
  "sideEffects": [// 告知webpack哪些文件是有副作用的，让webpack在做tree sharking的时候不要删除
    "./polyfill.js"
  ],
  "contributors": [],//项目的贡献者
  "bugs":"",//链接到软件包的问题跟踪器，最常用的是Github的issue页面
  "homepage": "",//设置软件包的主页
  "repository": "",//指定程序包仓库所在位置
  "private":"false",//软件包是否是私有,如果设置为true,可以防止应用程序/软件包被意外发布到npm上
  "dependencies": {//设置作为依赖安装的npm软件包的列表
    "core-js": "^3.36.1",
    "css-loader": "^6.10.0",
    "css-minimizer-webpack-plugin": "^6.0.0",
  },
  "devDependencies": {//开发依赖的软件包，它们无须在生产环境使用
    "@babel/cli": "^7.24.1",
   
  },
  "engines": "18.12.1",// 软件包所支持的Node.js版本
  "browserlist":"",//用于告知要支持哪些浏览器及版本

package-lock.json文件

在npm5以上的版本中，引入了package-lock.json文件，该文件旨在跟踪被安装的每个软件包的确切版本，以便产品可以以相同的方式被100%复制。

举个例子
package.json文件中有如下属性：

"@babel/core": "^7.24.3""

版本号可以有三种表示方式

• ~7.24.3: 只更新补丁版本，即7.24.4可以，7.24.0不行
• ^7.24.3: 要更新补丁版本和次版本，即7.24.4可以，7.24.0也行
• 7.24.3: 始终使用确切的版本

当使用npm install命令在另一台机器上复制项目是，如果指定了~语法并且软件包发布了补丁版本，则该补丁版本会被安装，^语法中的此版本亦然。

如果多人在不同的时间获取同一个项目，使用npm install安装时，有可能安装的依赖包版本不同，这样可能会给程序带来不可预知的错误。而通过使用package-lock.json文件，可以固化当前安装的每个软件包的版本，当运行npm install时，npm会使用这些确切的版本，确保每个人在任何时间安装的版本都是一致的，避免package.json文件无法解决的版本不同问题。

如下package-lock文件中的片段代码

   "@babel/core": {
      "version": "7.24.3",
      "resolved": "https://registry.npmjs.org/@babel/core/-/core-7.24.3.tgz",
      "integrity": "sha512-5FcvN1JHw2sHJChotgx8Ek0lyuh4kCKelgMTTqhYJJtloNvUfpAFMeNQUtdlIaktwrSV9LtCdqwk48wL2wBacQ==",
      "dev": true,
      "requires": {
        "@ampproject/remapping": "^2.2.0",
        "@babel/code-frame": "^7.24.2",
        "@babel/generator": "^7.24.1",
        "@babel/helper-compilation-targets": "^7.23.6",
        "@babel/helper-module-transforms": "^7.23.3",
        "@babel/helpers": "^7.24.1",
        "@babel/parser": "^7.24.1",
        "@babel/template": "^7.24.0",
        "@babel/traverse": "^7.24.1",
        "@babel/types": "^7.24.0",
        "convert-source-map": "^2.0.0",
        "debug": "^4.1.0",
        "gensync": "^1.0.0-beta.2",
        "json5": "^2.2.3",
        "semver": "^6.3.1"
      },
      "dependencies": {
        "semver": {
          "version": "6.3.1",
          "resolved": "https://registry.npmjs.org/semver/-/semver-6.3.1.tgz",
          "integrity": "sha512-BR7VvDCVHO+q2xBEWskxS6DJE1qRnb7DxzUrogb71CWoSficBxYsiAGd+Kl0mmq/MprG9yArRkyrQxTO6XjMzA==",
          "dev": true
        }
      }
    },

上面的代码中，由于在package-lock.json文件中使用了检验软件包的integrity散列值，这样就可以保证所有人在任何时间安装的依赖包的版本都是一致的。

注：
package-lock.json文件是需要将其提交到git仓库的，他人下载后，在运行npm install时，package-lock.json文件中的依赖版本也会跟着更新。