JavaScript包管理通过npm或Yarn统一管理第三方库,依赖关系记录在package.json中,lock文件确保版本一致;npm是Node.js默认工具,Yarn强调速度与确定性;正确区分dependencies与devDependencies、不提交node_modules、定期清理依赖比工具选择更重要。
JavaScript 的包管理,就是统一下载、安装、更新和管理第三方代码库(比如 React、Lodash、Axios)的机制。它解决了手动找代码、版本混乱、依赖冲突等问题。npm 和 Yarn 都是主流的包管理工具,底层都用 package.json 记录依赖关系,但操作体验和部分特性略有不同。
npm:Node.js 自带的默认包管理器
安装 Node.js 时,npm 就已自动装好。你可以直接在终端运行命令:
-
初始化项目:在项目根目录运行
npm init(或npm init -y跳过交互),生成package.json -
安装包(开发依赖):例如加 ESLint 仅用于开发,运行
npm install eslint --save-dev(简写npm install eslint -D) -
安装包(生产依赖):例如加 Lodash 会在代码中实际调用,运行
npm install lodash(默认为--save,新版 npm 已默认写入dependencies) -
运行脚本:在
package.json的"scripts"字段里定义,如"test": "jest",之后用npm run test执行 -
全局安装工具:比如安装
http-server做本地静态服务:npm install -g http-server,之后可在任意目录直接运行http-server
Yarn:更快、更确定的替代方案
Yarn 是由 Facebook 推出的,强调安装速度和依赖锁定(通过 yarn.lock 确保所有人安装完全一致的版本)。
-
安装 Yarn:可通过
npm install -g yarn(需先有 npm),或用系统包管理器(如 macOS 的brew install yarn) -
初始化并安装依赖:如果已有
package.json,直接运行yarn(等价于yarn install),它会读取package.json并按yarn.lock安装精确版本 -
添加依赖:
yarn add lodash(生产依赖),yarn add jest --dev(开发依赖) -
升级依赖:
yarn upgrade lodash升级到符合范围的最新版;yarn upgrade lodash@latest强制升到最新主版本 - 离线安装支持更好:Yarn 缓存所有下载过的包,默认开启,重复安装时无需联网
package.json 和 lock 文件的关键作用
package.json 是项目的“说明书”,记录名称、版本、脚本、依赖项等。node_modules 是实际存放包的文件夹,不应提交到 Git。
立即学习“Java免费学习笔记(深入)”;
-
dependencies:项目运行时必需的包(如 React、Vue) -
devDependencies:仅开发阶段需要的包(如 Babel、Webpack、ESLint) -
package-lock.json(npm)或yarn.lock(Yarn):锁定每个包及其子依赖的确切版本号,保障团队协作和 CI/CD 构建结果一致 - 不要手动修改 lock 文件 —— 它由工具自动生成和维护
选 npm 还是 Yarn?简单建议
对大多数新项目,推荐从 npm 开始(尤其使用 npm 7+ 后,已支持 workspaces 和自动 peerDependencies 安装,体验大幅改善)。Yarn 更适合对安装一致性、单仓多包(monorepo)、离线环境要求高的场景。
- 团队已有约定?优先遵循现有规范
- 用 Vite / Create React App / Next.js 等脚手架?它们都兼容两者,但默认提示常基于 npm
- 遇到
node_modules冲突或安装失败?先删掉node_modules和 lock 文件,再重新安装
不复杂但容易忽略:无论用哪个工具,理解 dependencies 和 devDependencies 的区别、定期清理无用依赖、不把 node_modules 提交进仓库,这三点比工具本身更重要。
