npm和yarn通过package.json解析依赖,采用扁平化策略安装包,利用lock文件确保版本一致,处理版本冲突时选择兼容版本或嵌套安装,Yarn Berry则使用PnP提升性能。
npm 和 Yarn 都通过分析项目中的 package.json 文件来解析依赖树,但它们在处理依赖关系的结构和安装策略上有所不同。核心目标是确定需要安装哪些包、版本是否兼容,并尽可能避免冲突。
依赖声明与版本规则
每个包的 package.json 中包含 dependencies、devDependencies 等字段,列出所依赖的包及其版本范围。例如:
"dependencies": { "lodash": "^4.17.0", "express": "~4.18.0" }
这里的 ^ 和 ~ 是语义化版本(SemVer)的修饰符,决定了允许更新的版本范围。工具会根据这些规则从注册源(如 npm registry)获取匹配的版本信息。
构建依赖树的方式
npm 和 Yarn 都会递归地读取每个已安装包的 package.json,收集其依赖,逐步构建完整的依赖图。
立即学习“Java免费学习笔记(深入)”;
- npm(v3+)使用扁平化策略:尝试将所有依赖提升到 node_modules 的根目录层级,只要版本不冲突。这减少了重复安装,但也可能导致“幽灵依赖”(未声明却可用)。
- Yarn(v1)也采用扁平化安装,但引入了 yarn.lock 文件精确记录每个包的版本和来源路径,确保不同环境安装一致。
- Yarn Berry(v2+)改用 PnP(Plug'n'Play):不再生成 node_modules,而是通过 .pnp.cjs 文件映射模块引用,直接控制模块解析流程,提升性能和确定性。
解决依赖冲突
当多个包依赖同一包的不同版本时,包管理器会进行版本合并或嵌套安装:
- 如果版本范围有交集,选择一个满足所有要求的版本并提升到顶层。
- 若无交集,则在同一父包下为不同版本创建独立的子目录,形成嵌套结构。
例如,A 依赖 lodash@4.17.0,B 依赖 lodash@5.0.0,则可能在 node_modules 中分别保留两个版本,按需加载。
锁定文件的作用
package-lock.json(npm) 和 yarn.lock(Yarn) 记录了整个依赖树的精确版本和安装位置。它们由包管理器自动生成,确保团队成员和生产环境安装完全相同的依赖组合。
没有 lock 文件时,每次安装都可能因新发布版本而得到不同的结果,导致“在我机器上能运行”的问题。
基本上就这些。两种工具都在不断优化依赖解析的效率与可靠性,核心逻辑围绕版本声明、扁平化策略、锁文件和冲突处理展开。