浅析npm install常用的-S、-D、-g的区别、dependencies与devDependencies的区别及常见误区解析

一、结论

　　npm install，本身就有一个别名 npm i

　　npm i module_name -S，即 npm install module_name --save ，写入dependencies，发布到生产环境

　　npm i module_name -D，即 npm install module_name --save-dev ，写入devDependencies，发布到开发环境

　　npm i module_name -g    即    global全局安装(命令行使用)

　　npm i module_name       即    本地安装(将安装包放在 ./node_modules 下)

二、npm install -S -D 的区别

1、npm i --save 写入 dependencies

　　会把msbuild包安装到node_modules目录中

　　会在package.json的dependencies属性下添加msbuild

　　之后运行npm install命令时，会自动安装msbuild到node_modules目录中

　　之后运行npm install --production或者注明NODE_ENV变量值为production时，会自动安装msbuild到node_modules目录中

2、npm i --save-dev 写入 devDependencies

　　会把msbuild包安装到node_modules目录中

　　会在package.json的devDependencies属性下添加msbuild

　　之后运行npm install命令时，会自动安装msbuild到node_modules目录中

　　之后运行npm install --production或者注明NODE_ENV变量值为production时，不会自动安装msbuild到node_modules目录中

3、还有一个 npm i module_name -g ，-g 指的是全局安装。不带 -g 的为本地安装

　　将安装包放在 /usr/local 下或者你 node 的安装目录。

　　可以直接在命令行里使用。

4、npm install 本地安装

　　将安装包放在 ./node_modules 下（运行 npm 命令时所在的目录），如果没有 node_modules目录，会在当前执行 npm 命令的目录下生成 node_modules 目录。

　　可以通过 require() 来引入本地安装的包。

三、dependencies 与 devDependencies 的区别

　　dependencies与devDependencies 都是在package.json中的配置信息：

1、devDependencies 的理解：

　　我们在开发一个前端项目的时候，需要使用到webpack或者gulp来构建我们的开发和本地运行环境，这时我们就要安装到 devDependencies 里。webpack或者gulp是用来打包压缩代码的工具，在项目实际运行的时候用不到，所以把webpack或者gulp放到 devDependencies 中就行了。

2、dependencies 的理解：

　　我们在项目中用到了element-ui，在生产环境中运行项目，当然也需要element-ui，所以我们把element-ui安装到dependencies中。

3、dependencies和devDependencies对于你的项目而言，本质区别到底是什么？

　　官方文档里怎么说？

"dependencies"：您的应用程序在生产中所需的包。
"devDependencies": 只需要本地开发和测试的包。

　　很抱歉，这也只是它们的定义和语义化约定，做不得数的！！真正的区别，其实在这里：

（1）第一点：

By default, npm install will install all modules listed as dependencies in package.json.

　　翻译一下：默认情况下，npm install 将安装 package.json 里所有列为 dependencies 的模块

　　什么意思呢？

　　1. 这种依赖是向下遍历的，比如A库依赖B库，B库依赖C库，在A库中npm install时，会同时安装B和C！

　　2. 但是devDependencies却不是，npm install 时只会在node_modules里安装当前项目的devDep；比如A的开发依赖是B，B的开发依赖是C，在A库里npm install，只会安装B！

　　如下图：实线表示dependencies， 虚线表示devDependencies

　　当我们执行npm install时，对于当前根项目（图中的A项目）而言，dependencies和devDependencies对它而言，表现上是一模一样的，都将资源安装到了node_modules中。

　　一旦资源被安装到了node_modules中，对于后续的开发和构建而言，程序就更加无法感知到它们的区别。

　　但是！！再往下看，到了D/E/F/G这一层依赖时，dependencies和devDependencies的区别就凸现出来了。在第三层里，所有被上一层dependencies的库，都得以安装，所有devDependencies里的，都未能被安装。

（2）不过，我们严谨一点，也有例外：

With the --production flag (or when the NODE_ENV environment variable is set to production), npm will not install modules listed in devDependencies.

　　翻译下：npm install 时使用 --production 标志（或当NODE_ENV环境变量设置为production），npm 将不会安装devDependencies

　　对，这里确实是符合语义化，“生产模式”不装“开发环境的依赖”。看到这里，我突然意识到，为什么很多项目在build脚本中要使用--production了，原来这不是约定，而是规范。

4、真人真事

　　前端项目的denpendencies里应不应该放开发时的依赖？

　　create-react-app项目组在4年前的答案是“适合”，因为dep和devDep的区别主要是语义上的，并不会影响项目的构建，为了解决某些问题，忽略语义是值得的。

　　但万万没想到的是，第2年，npm 6就推出了audit指令，dependencies拥有了更多的意义。非常多用户因扫描出高危漏洞而困扰。

　　4年前那个“讨巧”的解决方案再次被提出讨论，而且大概率会被重新扔回devDependencues里去。这真是个悲伤的故事。

四、关于dependencies 与devDependencies的误区

　　我的理解，打不打包和dependencies、devDependencies没有任何关系，需要打包的肯定是你自己写的代码引用了，打包工具都有自己的判断，没听说过哪款打包工具不通过引入判断直接全量打包的，这样还需要commjs，esm干嘛。

1、本质区别

　　dependencies和devDependencies主要本质区别：

（1）一是在你安装一个外部模块时，不会自动安装这个模块下 package.json 里边 devDependencies 的依赖（因为你只是要使用这个模块，而不是要开发这个模块，这个模块的正常功能不需要 devDependencies 的依赖）

（2）二是在运行 npm install 时加入 --production 有区别，加入这个参数不会下载 devDependencies 的依赖（前提是保证这里边的依赖不影响项目打包部署，也只有eslint、prettier这种才是完全不影响的了）

　　如果只是用npm install，放哪个目录其实都无所谓，该打包就得打包，这是打包工具的事。想想也是，npm只是一个依赖管理工具，它怎么能决定项目打包需不需要呢。

2、误区反驳

　　所以如果有文章上来就提什么vue放dependencies，webpack放devDependencies，然后生产环境就不打包webpack了，都是扯淡，二者没有任何关系。

　　想想也是，npm自己出的东西肯定是为了方便处理依赖关系，打包都是下游干的事。

　　用是否打包来区分依赖类型还可以理解，但是这种以依赖类型来判定是否打包就不合适了。

3、总结：

　　对于自己要发布上线的项目，eslint、prettier以及ts的type等这些发布完全用不到的可以放到devDependencies下，然后上线打包部署的时候可以用npm install --production可以减少一些依赖安装时间，前提一定是不参与打包的；不过大部分人不用这个命令，那这时候就随便了，反正两种依赖都要安装。

　　然后对于要发布到npm仓库的第三方模块，不影响本模块功能的都可以放到devDependencies下，这样别人在引用的模块时也不会安装这些模块，减少冲突。例如这时候被引入模块的webpack、babel依赖这时候对于引入方可能就不是必须的。

五、问题深入

1、当我们敲 npm install 的时候会安装哪些依赖，dependencies 和 devDependencies 都会安装吗？还是只安装 dependencies？
2、项目依赖包是放在 dependencies 和 devDependencies？

1、【npm install 默认会安装 dependencies 字段和 devDependencies 字段中的所有模块】。 如果软件包具有 package-lock 或 shrinkwrap 文件，则依赖项的安装将由此驱动，如果两个文件都存在，则 npm-shrinkwrap.json 优先。 请参阅 package-lock.json 和 npm-shrinkwrap。

　　那么也就是说，当我们在拿到一个项目的时候，使用 npm install 是会安装 dependencies 和 devDependencies 里所有的依赖包的。

　　那么是否意味着，我们在安装依赖包的时候，不需要过多的去纠结是使用 -S 还是 -D 呢 ？随便安装到 dependencies 或者 devDependencies 里都行，反正 npm install 的时候，都会安装 dependencies 和 devDependencies 里面的依赖。

　　其实不然！如果使用 --production 参数，可以只安装 dependencies 字段的模块。

$ npm install --production
// 或者
$ NODE_ENV=production npm install

　　【所以我们做好 dependencies 和 devDependencies 的区分的话，在使用 npm install --production 的时候，还是有区别的。】

　　不过，感觉这个 npm install --production 的使用场景不是很多。我好像没怎么用，可能以后会用到吧。

2、内心os：既然 npm install --production 我用不到，那我在安装依赖包的时候，还是随意吧，放到 dependencies 或者 devDependencies 都无所谓，反正 npm install 的时候会把 dependencies 和 devDependencies 里面的依赖包都安装下来。哈哈~~，随意使用 -S 或者 -D 咯~

　　错！这样想就错了。dependencies 和 devDependencies 还是有明显区别的。我们接着来看。

　　我们在安装依赖包的时候，要如何区分是安装到 dependencies 还是 devDependencies 中呢？

（1）dependencies 依赖

　　这个可以说是 npm 核心一项内容，依赖管理，这个对象里面的内容就是我们这个项目所依赖的 js 模块包。下面这段代码表示我们依赖了 markdown-it 这个包，版本是 ^8.1.0 ，代表最小依赖版本是 8.1.0 ，如果这个包有更新，那么当我们使用 npm install 命令的时候，npm 会帮我们下载最新的包。当别人引用我们这个包的时候，包内的依赖包也会被下载下来。

"dependencies": {
    "markdown-it": "^8.1.0"
}

　　重点是：如果我们把devDependencies开发依赖需要的包放到dependencies上去，那么别人使用的时候，都会需要下载这个包以及它所依赖的包，那是不是就挺坑的

（2）devDependencies 开发依赖

　　在我们开发的时候会用到的一些包，只是在开发环境中需要用到，但是在别人引用我们包的时候，不会用到这些内容，放在 devDependencies 的包，在别人引用的时候不会被 npm 下载。如：

"devDependencies": {
    "autoprefixer": "^6.4.0",0",
    "babel-preset-es2015": "^6.0.0",
    "babel-preset-stage-2": "^6.0.0",
    "babel-register": "^6.0.0",
    "webpack": "^1.13.2",
}

　　当你有了一个完整的 package.json 文件的时候，就可以让人一眼看出来，这个模块的基本信息，和这个模块所需要依赖的包。我们可以通过 npm install 就可以很方便的下载好这个模块所需要的包。

3、结论：当你在开发一个 npm 包的时候，还是要好好管理你的 dependencies 依赖 和 devDependencies 依赖。

　　之前有个同事写了一个 loading 组件，发到 npm 上面去了，他跟我说简单好用，我就用了。但是我发现他这么小的一个组件，为什么包这么大。一看，原来他写这个 npm 包的时候，所有的依赖都放到 dependencies 里面了（包括 gulp，browser-asyc，压缩代码的，express…等等一些他开发时用的工具）。你们说，他是不是挺狠的！