包管理器与依赖：为什么它突然让我安装 Node.js

"先运行 npm install"

你跟着 AI 的指引开始一个新项目，AI 给你的第一条指令常常是这样的：

先确保你安装了 Node.js，然后在终端里运行 npm install。

你可能会困惑：我不是要做一个网站吗？为什么要装 Node.js？npm 又是什么？为什么还没开始写代码就要先"安装"一堆东西？

这些疑惑的答案，都藏在"依赖"这个概念里。

什么是依赖

在前面的章节里，我们提到过"库"——别人写好的现成零件，你可以直接拿来用，省去自己从头写的时间。

当你的项目用到了某个库，你的项目就依赖于这个库。没有它，你的项目的某些功能就跑不起来。

一个现代的软件项目通常不止依赖一两个库，而是依赖几十个甚至上百个。而且这些库本身也会依赖其他的库——就像搭积木一样层层嵌套。

这就是为什么当你运行 npm install 之后，会看到终端里刷出一大串东西——它在把你的项目直接和间接依赖的所有库一次性下载安装好。

什么是包管理器

手动去下载和管理这么多库显然不现实。包管理器就是帮你自动完成这件事的工具。

在 JavaScript 的世界里，最常见的包管理器是 npm（Node Package Manager）。在其他编程语言里也有类似的工具，比如 Python 的 pip、Ruby 的 gem。

包管理器帮你做三件事：

安装——你告诉它你需要什么库，它帮你下载并放到正确的位置。

版本管理——每个库都有版本号。包管理器会记录你的项目用的是哪个版本，确保团队里每个人（以及服务器上）用的都是同一个版本。

依赖解析——如果你安装的库 A 依赖于库 B，而库 B 又依赖于库 C，包管理器会自动帮你把 B 和 C 也一并装好。

为什么要先装 Node.js

你可能注意到，npm 的全名里包含"Node"——它确实和 Node.js 绑在一起。安装了 Node.js，npm 就自动可用了。

Node.js 本身是一个运行环境（下一篇会详细讲），而 npm 是它附带的包管理器。即使你的项目不直接用 Node.js 来写后端，很多前端工具也依赖它来运行。

这就是为什么 AI 经常让你"先装 Node.js"——不一定是因为你的项目是 Node.js 项目，而是因为你用到的工具链需要它。

package.json：项目的购物清单

在你的项目文件夹里，通常会有一个叫 package.json 的文件。你可以把它理解为项目的"购物清单"——它列出了这个项目需要哪些库、各自的版本是什么。

当你把项目分享给别人，或者部署到服务器上时，对方只需要运行一次 npm install，包管理器就会按照 package.json 里的清单把所有依赖装好。不需要你一个一个手动告诉别人"你还需要装这个、装那个"。

安装包时需要注意什么

虽然包管理器让安装库变得很方便，但这份便利也带来了一些需要注意的事情：

确认包的来源是否可靠。 npm 上有数百万个包，绝大多数是安全的，但偶尔也有恶意的包伪装成热门库的名字（比如把某个字母拼写错误）来欺骗安装者。如果 AI 推荐了一个你没听过的包，可以搜索一下它的下载量和社区评价。

不要无节制地添加依赖。 每多一个依赖，就多一个需要维护和信任的外部组件。如果一个功能足够简单，自己写几行代码可能比引入一整个库更合理。

注意区分"生产依赖"和"开发依赖"。 有些包只在你开发的时候用到（比如代码格式化工具），有些包是你的应用运行时必需的。AI 在安装包时通常会做出正确的区分，但如果你好奇，可以问它："这个包是运行时需要的，还是只在开发时用？"