yarn & npm

• node升级
• 升级包
• 切换源
  • yarn 切换源
  • npm 切换源
  • 淘宝 NPM 镜像站切换新域名
• 你必须知道的yarn
  • yarn优势
  • yarn指令
• npm 发布包
  • npm link
  • 发布
  • 发布组织包
  • 删除npm包
  • npm废弃包
  • npm 执行相关钩子
• package.json 限制版本号
• npmrc 配置
• npm、yarn、pnpm 如何删除缓存文件?
• 深入理解 npm 命令，npm i 之前可被自动执行的命令 prepare
• 介绍下 npm 模块安装机制，为什么输入 npm install 就可以自动安装对应的模块？
  • 模块安装过程
  • npm 实现原理
  • NPM依赖包版本号~和^和*的区别
• 参考文章

node升级

1、window系统升级node就只有到node官网下载window安装包来覆盖之前的node

2、mac升级node版本 npm i -g n n 12.9.1 //指定版本升级 n latest //安装最新版本 n stable //安装最稳定的版本

强烈推荐使用 nvm

nvm常用命令

命令 说明

nvm list nrm ls 查看已经安装的版本
nvm list installed 查看已经安装的版本
nvm list available 查看网络可以安装的版本
nvm arch 查看当前系统的位数和当前nodejs的位数
nvm install [arch] 安装制定版本的node 并且可以指定平台 version 版本号 arch 平台
nvm on 打开nodejs版本控制 (在第一次使用nvm安装node后，要记得使用 nvm use 切换下node版本，以及用 nvm on 打开nodejs版本控制，不然这时候node和npm也都不可用。)
nvm off 关闭nodejs版本控制
nvm proxy [url] 查看和设置代理
nvm node_mirror [url] 设置或者查看setting.txt中的node_mirror，如果不设置的默认是 https://nodejs.org/dist/
nvm npm_mirror [url] 设置或者查看setting.txt中的npm_mirror,如果不设置的话默认的是：https://github.com/npm/npm/archive/.
nvm uninstall 卸载制定的版本
nvm use [version] [arch] 切换制定的node版本和位数
nvm root [path] 设置和查看root路径
nvm version 查看当前的版本

升级包

方式1

npm install -g npm-check    //安装全局的包
npm update <name> -g        //全部安装不建议用
npm update <name>           //单个安装

方式2

yarn global add npm-check-updates  //安装全局的包

//ncu  查看所有可以安装的包
sudo ncu -u <name>  //这个只是改变package里面的版本 不会更新包
//所以要sudo ncu -u <name> && sudo yarn 

方式3推荐

yarn upgrade-interactive --latest //需要手动选择升级的依赖包，按空格键选择，a 键切换所有，i 键反选选择

方式4

yarn upgrade react --latest //yarn upgrade 更新依赖包时yarn.lock更新但package.json不同步更新版本信息,网上说会同步更新，我试了下，未更新，具体看你们

切换源

yarn 切换源

1、查看一下当前源 yarn config get registry 2、切换为淘宝源 yarn config set registry https://registry.npm.taobao.org 3、或者切换为自带的 yarn config set registry https://registry.yarnpkg.com

npm 切换源

1、全局配置切换到淘宝源 npm config set registry https://registry.npm.taobao.org
2、检测是否切换到了淘宝源 npm info underscore

淘宝 NPM 镜像站切换新域名

淘宝为了提供更稳定、更安全、更符合国家法律法规要求的镜像服务（说人话就是怕国家找茬所以要低调）， 将要更换淘宝npm源的服务器，并且老的域名 npm.taobao.org 和 registry.npm.taobao.org 将不再使用。

2022年5月31日0时，这两个老域名将会停止服务，截至目前，通过老域名安装npm包已经会被301到新域名 registry.npmmirror.com

Web 站点：https://npmmirror.com (opens new window)

Registry Endpoint：https://registry.npmmirror.com (opens new window)

可能受到的影响和处理方式

• 企业用户需要联系 网管/IT/SRE 更新防火墙白名单。
• cnpm 自身的 CLI，我们会对每个大版本都发个 patch 去更新，开发者重新安装即可。
• nrm 等工具，需要提 PR 去更新内置的域名。
• 一些开发者自己封装的工具，如 egg-init，需要维护者自行提 PR 去更新。
• 存量应用的 lock 文件，开发者需要自行执行 sed 等指令去替换或重新生成。
• 本地 npmrc 里面的 registry 地址，（如果有，则）需要开发者自行更新。
• 平台应用里面写死的，需开发者自己更新并部署。

知乎 阿里 (opens new window)

你必须知道的yarn

yarn的起源 (opens new window)已经解释了为什么要创建一个新的javascript包管理器， 这里笔者也推荐大家从npm切换为yarn。npm4就不说了，速度太慢了，npm5借鉴了很多yarn的机制，比如简单的版本锁、重写cache模块等，减少了与yarn的差距。 但依然有些地方做的不如yarn,这篇文章 (opens new window)记录了npm5和yarn的实验对比，结论是：在没有缓存时，yarn和npm5速度差不多；在有缓存时，yarn比npm5快2倍。

yarn优势

以下针对npm5前:

• yarn 离线安装。 下载的时候 Yarn 缓存了所有的包以至于不需要再次从网络下载
• yarn并行下载，使得时间更快。 通过并行操作最大限度地提高资源利用率，以至于再次下载的时候安装时间比之前更快。npm5之前是等上一个安装完后再执行下一个，串行下载。
• yarn锁包yarn-lock，保证引用包正确。 yarn.lock 文件准确的锁定了所有被下载和项目依赖的包版本。通过这个文件，你能确定你的工程师团队的每一位成员都能安装准确的包，并且可以更容易的部署，而没有意外 bug出现。

yarn指令

* `yarn bin`, 打印出执行脚本的位置，可以被yarn run执行。相当于npm bin
* `yarn login/yarn publish` npm登录和发布。相当于npm login/npm publish
* `yarn cache clean`，清除缓存，相当于npm cache clean。
* `yarn list` 列出当前所有依赖的包
* `yarn config list` 显示所有配置设置

npm 发布包

npm link

记录一下，开发npm包时要在项目中调试，可以在npm包中执行npm link 链接到全局，

在项目中npm link xxxxx(npm包名)；当调试完成后，解除npm link 可以在项目中执行 npm unlink xxxx(npm包名)

第二种方法，npm list -g --depth 0查看全局安装的包，找到全局包的路径，直接删除这个文件

发布

npm publish

很多软件在正式发布前都会发布一些预览版或者测试版，一般都叫“beta版”或者 “rc版”，特别是开源软件，甚至有“alpha版”，下面来解释一下各个版本的意思。

alpha版：内部测试版。α是希腊字母的第一个，表示最早的版本，一般用户不要下载这个版本，这个版本包含很多BUG，功能也不全，主要是给开发人员和 测试人员测试和找BUG用的。

beta版：公开测试版。β是希腊字母的第二个，顾名思义，这个版本比alpha版发布得晚一些，主要是给“部落”用户和忠实用户测试用的，该版本任然存 在很多BUG，但是相对alpha版要稳定一些。这个阶段版本的软件还会不断增加新功能。如果你是发烧友，可以下载这个版本。

rc版：全写：Release Candidate（候选版本），该版本又较beta版更进一步了，该版本功能不再增加，和最终发布版功能一样。这个版本有点像最终发行版之前的一个类似 预览版，这个的发布就标明离最终发行版不远了。作为普通用户，如果你很急着用这个软件的话，也可以下载这个版本。

stable版：稳定版。在开源软件中，都有stable版，这个就是开源软件的最终发行版，用户可以放心大胆的用了。

发布组织包

类似于 @/babel/core ...

现在npm 下申请一个组织名字，然后执行 npm init --scope=@起好的名字，现在就可以执行 npm publish 发布了

删除npm包

npm unpublish --force  // 强制删除
npm unpublish irdd@1.0.6 // 指定版本号

npm废弃包

npm包发布后可以对包进行废弃或删除操作，废弃和删除的区别在于：

• 废弃不会将包或版本从npm仓库删除，仍然可以继续下载安装，并在安装的时候会有警示
• 删除会将包从npm彻底删除，无法被下载安装

单个废弃 npm deprecate irdd@0.6.38 'critical bug in commonjs package'

整个废弃 npm deprecate irdd 'This package has been deprecated in favour of irdd'

npm 执行相关钩子

npm 钩子规律 以 deploy（自定义）为例子 ，其他都是

predeploy 在 deploy 前触发

deploy

postdeploy 在 deploy 后触发

发布钩子相对特殊点

prepublish 的特殊性：

它在 npm install 和 npm publish 都会触发，因此建议用 prepare 或 prepublishOnly 替代。

钩子名	触发时机	常见用途
prepublish	（不推荐） 在运行 npm publish 或 npm install 时触发	可能会引起混淆，建议使用 prepare
prepare	在 npm install 或 npm publish 前触发	构建产物、打包项目
prepublishOnly	仅在 npm publish 前触发	构建发布前需要的内容
postpublish	在 npm publish 完成后触发	通知、清理临时文件

package.json 限制版本号

"engines": {
  "node": ">=10 <=12"
}

npmrc 配置

sass_binary_site==https://npmmirror.com/mirrors/node-sass/
sentrycli_cdnurl=https://npmmirror.com/mirrors/sentry-cli/
phantomjs_cdnurl=https://npmmirror.com/mirrors/phantomjs/
electron_mirror=https://npmmirror.com/mirrors/electron/
registry= https://registry.npmmirror.com/

npm、yarn、pnpm 如何删除缓存文件?

NPM

查看缓存路径

npm config get cache

删除缓存

npm cache clean --force

YARN

查看缓存路径

yarn cache dir

删除缓存

yarn cache clean

PNPM

查看缓存路径

pnpm store path

删除缓存

pnpm store prune

深入理解 npm 命令，npm i 之前可被自动执行的命令 prepare

可以理解为是 npm install 的钩子函数

在 package.json 里面配置 scripts 字段，增加新的内置命令 prepare。注意这里配置的命令，是在终端里面可以执行的，比如：输出一句话使用的是echo，而不是 nodejs 里面的 console.log()。

执行 npm i 的时候，就会自动执行 prepare 命令。使用 yarn 安装的时候，也会自动执行。

执行的先后顺序是：先执行安装，然后再 prepare，也就是说，如果在 prepare 命令里面配置了只有被安装的包才能执行的命令的话，是没有问题的，所以需要注意下这个点

介绍下 npm 模块安装机制，为什么输入 npm install 就可以自动安装对应的模块？

模块安装过程

1. 查找此模块是否已经在node_modules中安装过，然后再.npm 缓存中查看是否有同版本缓存
2. 如果有缓存，直接使用缓存
3. 没有缓存去registry中按照registry/packagename/version模式搜索模块
4. 将模块下载并解压到node_modules目录中，如果模块是可执行模块，将可执行文件放到 .bin 目录中
5. 同时在模块放在 .npm 中作为副本缓存

npm 实现原理

1. 执行工程自身 preinstall

当前 npm 工程如果定义了 preinstall 钩子此时会被执行。

2. 确定首层依赖模块

首先需要做的是确定工程中的首层依赖，也就是 dependencies 和 devDependencies 属性中直接指定的模块（假设此时没有添加 npm install 参数）。

工程本身是整棵依赖树的根节点，每个首层依赖模块都是根节点下面的一棵子树，npm 会开启多进程从每个首层依赖模块开始逐步寻找更深层级的节点。

3. 获取模块

获取模块是一个递归的过程，分为以下几步：

• 获取模块信息。在下载一个模块之前，首先要确定其版本，这是因为 package.json 中往往是 semantic version（semver，语义化版本）。此时如果版本描述文件（npm-shrinkwrap.json 或 package-lock.json）中有该模块信息直接拿即可，如果没有则从仓库获取。如 packaeg.json 中某个包的版本是 ^1.1.0，npm 就会去仓库中获取符合 1.x.x 形式的最新版本。
• 获取模块实体。上一步会获取到模块的压缩包地址（resolved 字段），npm 会用此地址检查本地缓存，缓存中有就直接拿，如果没有则从仓库下载。
• 查找该模块依赖，如果有依赖则回到第1步，如果没有则停止。

1. 模块扁平化（dedupe）

上一步获取到的是一棵完整的依赖树，其中可能包含大量重复模块。比如 A 模块依赖于 loadsh，B 模块同样依赖于 lodash。在 npm3 以前会严格按照依赖树的结构进行安装，因此会造成模块冗余。

从 npm3 开始默认加入了一个 dedupe 的过程。它会遍历所有节点，逐个将模块放在根节点下面，也就是 node-modules 的第一层。当发现有重复模块时，则将其丢弃。

这里需要对重复模块进行一个定义，它指的是模块名相同且 semver 兼容。**每个 semver 都对应一段版本允许范围，如果两个模块的版本允许范围存在交集，那么就可以得到一个**兼容版本，而不必版本号完全一致，这可以使更多冗余模块在 dedupe 过程中被去掉。

比如 node-modules 下 foo 模块依赖 lodash@^1.0.0，bar 模块依赖 lodash@^1.1.0，则 ^1.1.0 为兼容版本。

而当 foo 依赖 lodash@^2.0.0，bar 依赖 lodash@^1.1.0，则依据 semver 的规则，二者不存在兼容版本。会将一个版本放在 node_modules 中，另一个仍保留在依赖树里。

举个例子，假设一个依赖树原本是这样：

node_modules -- foo ---- lodash@version1

-- bar ---- lodash@version2

假设 version1 和 version2 是兼容版本，则经过 dedupe 会成为下面的形式：

node_modules -- foo

-- bar

-- lodash（保留的版本为兼容版本）

假设 version1 和 version2 为非兼容版本，则后面的版本保留在依赖树中：

node_modules -- foo -- lodash@version1

-- bar ---- lodash@version2

5. 安装模块

这一步将会更新工程中的 node_modules，并执行模块中的生命周期函数（按照 preinstall、install、postinstall 的顺序）。

6. 执行工程自身生命周期

当前 npm 工程如果定义了钩子此时会被执行（按照 install、postinstall、prepublish、prepare 的顺序）。

最后一步是生成或更新版本描述文件，npm install 过

NPM依赖包版本号~和^和*的区别

~ 会匹配最近的小版本依赖包，比如~1.2.3会匹配所有1.2.x版本，但是不包括1.3.0

^ 会匹配最新的大版本依赖包，比如^1.2.3会匹配所有1.x.x的包，包括1.3.0，但是不包括2.0.0

• 这意味着安装最新版本的依赖包

参考文章

• 5 things you can do with Yarn (opens new window)
• Yarn - CLI Introduction (opens new window)
• Node.js 中的依赖管理 (opens new window)