package.json和package-lock.json的作用

package.json记录当前项目所依赖模块的版本信息，更新模块时锁定模块的大版本号（版本号的第一位）。

npm5之后安装文件之后会多出一个package-lock.json的文件，它的作用是：

记录了node_modules目录下所有模块的具体来源和版本号以及其他的信息。

它的特点是：

安装之后锁定包的版本，手动更改package.json文件安装将不会更新包，想要更新只能使用 npm install xxx@1.0.0 --save 这种方式来进行版本更新package-lock.json 文件才可以。

当你修改了package.json某一个模块的版本信息后，用npm i 更新模块，你会得到该模块在package.json限定的大版本下的最新模块。例如模块A有3.0.0、3.1.0、3.2.0版本，当前项目中模块A版本为3.0.0，你将package.json中模块A版本改成了3.1.0，执行npm i 更新模块后会发现，下载到的模块版本为3.2.0同时package-lock.json中记录的也是3.2.0。如果你的确需要3.1.0的A模块。就不要修改package.json文件，这个时候你可以通过npm A@3.1.0 去指定模块的下载版本。

例如下面的lodash模块，当前版本为3.1.0，前两个是项目根目录下的文件，第三个是node_modules下的文件：

现在我们手动修改项目根目录下的package.json文件，将lodash改成3.2.0。如下所示：

然后我们去用npm i更新模块信息,结果如下：

如图我们看到lodash更新到了大版本为3的最新版本3.10.1。这个时候我们再试一下npm 指定版本更新lodash,效果如图： 

package.json和package-lock.json保证了大家在协同开发的时候所用的依赖模块版本是一致的。当你的项目新增了一个依赖模块请一定要把package.json和package-lock.json一起上传,这样别人下载项目的时候去更新模块信息，就能得到和你一模一样的模块版本。