npm - 为什么 `npm install` 使用收缩包装的 'resolved' 属性

Question

我正在考虑在我的计算机上设置一个本地 npm 镜像，例如“npm_lazy”。
但似乎 npm install和 npm shrinkwrap不适用于本地镜像。

让我解释。当有 npm-shrinkwrap.json文件，npm install命令总是从收缩包装文件的 "resolved" 中指定的 URL 请求包。属性(property)。所以，即使我有一个本地 npm 镜像在 http://localhost:12345/ 运行，即使我将 npm 配置为使用它作为它的注册表，它也会 不是 从我的本地镜像请求任何包模块(除非收缩包装文件中的 "resolved" 属性恰好指向 http://localhost:12345/ )。

基本上，npm install忽略 npm 的注册表配置并遵循收缩包装 "resolved"属性(property)。
npm install有什么原因吗？使用 "resolved"属性而不是使用依赖包名称和版本动态构造它？为什么 npm-shrinkwrap.json 有这个字段？

所以回到我的问题。我想使用 npm_lazy 作为本地 npm 镜像。我可以重写所有 "resolved" npm-shrinkwrap.json 中的 URL指向http://localhost:12345/ .但是我的收缩包装文件的可移植性较差——除非他们的计算机运行相同的 npm_lazy 服务器，否则我的同事将无法使用。

我考虑过重定向所有 registry.npmjs.org前往 localhost 的流量为了创建一个透明的镜子。但这太难了——它需要支持 HTTPS，而且，npm_lazy 将如何访问真正的域？我必须通过它的 IP 地址来指定它，这可能会改变。

有没有其他人尝试做同样的事情——设置本地计算机 NPM 缓存？
但是，我的主要问题是，为什么 npm 使用“已解决”属性？谢谢。

Answer 1

Shrinkwrap 锁定了依赖关系，试图保证使用该 shrinkwrap 文件的每个人都具有相同的“构建”(或依赖关系)。它不仅锁定版本，而且锁定存储库 URL，原因相同:更改任何这些都可能会更改包的内容，从而失去任何保证。当然，如果 shrinkwrap 知道存储库缓存或代理的概念，它当然应该使用您的，但显然不是。

通常你会替换 package.json 中的存储库 URL (因为这是一个源文件)并再次运行 npm shrinkwrap 以重新生成 npm-shrinkwrap.json文件(因为它是一个生成的文件)，并将其保存在本地开发分支上。但是将配置文件分开是一件麻烦事。

所以你可以输入cache.repository.example.com作为存储库主机名，并添加 CNAME到指向 npmregistry 的 DNS。任何在本地安装了 npm_lazy 的人都可以在其 Hosts 文件中安全地覆盖此 DNS 条目以指向 localhost。

但是，有一个更简单的解决方案可以本地化您的结帐。最近我用这个 little script to update package.json versions with values from npm-shrinkwrap.json 回答了一个问题，可以很容易地适应更新所有 resolved npm-package.json 中的属性使用你的代理，我将把它作为练习;-)