问题描述

在接手一个项目npm install 时遇到了如下问题

导致npm 包不能正常安装

问题分析

在进行问题分析前，先说一点基础知识，在npm资源管理网站，当作者每一次发布npm包或者更新版本时，npm资源管理网站都会为这个包或者新版本自动生成一个hash值，用于确保这个包的完整性，正常来说npm资源管理是不允许删除和更改npm包的，用户只能追加版本，但是npm并没有限制死，即一个包在发布24小时内作者是可以删除重新发布的，一旦作者进行了这样的操作，即便这两次包的版本号一样，但是这两次的hash值是不一样的。
另外，在我们为项目npm install 安装项目包时，我们会发现在项目的根目录还会自动生成一个package-lock.json的文件，这个文件就是用来锁定项目的依赖包版本。即我们在自己的package.json中可以定义我们要安装的包比如vue但是vue里又依赖了哪些包，他们的版本号是多少我们是无法确定的，因此对于一个项目开发来说，为了避免一个团队不同人之间开发依赖包不一致造成的开发问题，通常都需要对项目的依赖包版本锁死，这样不同人在npm install的时候不仅本项目的npm包一致，同样项目包所涉及的依赖包也是一致的。这就是package-lock.json的作用（温馨提示：千万不要在gitignore中把package-lock.json屏蔽喔，想必你已经知道为啥了😊）
通过上述了解，在根据具体情况分析发现是我这个包的npm源遭到更改或破坏了，导致前后两次的这个包的integrity（完整性约束）的hash值不一样。从而导致无法正常安装。
通俗的将就是一个npm包比如lodash v4.17.21这个版本刚发布不久，就被一个开发者把这个包安装到自己的项目中并push到远程仓库，但是lodash的作者可能觉得这个包有缺陷，然后就把这个版本删除了又重新发了一个 v4.17.21版本，尽管这两版本一样，但是他们的integrity的hash值已经发生改变了。所以当后来人在重新进行npm install进行安装时，由于package-lock.json记录了lodash v4.17.21旧的integrity，这就造成从npm资源库找到的这个lodash v4.17.21版本的integrity值和package-lock.json里记录的不一致，因此就无法正常安装。

解决方案

一、删除package-lock.json这个文件夹，重新安装
但是这种方法不推荐，如果是一个刚搭架没多久的项目可能没什么关系，但是一旦这个项目是一个已经好几年的老项目，你在删除package-lock.json后，重新安装时，就会造成一些包的依赖项和原来不一致，此时你很难保证这些依赖项有没有进行过重大更新，一旦出现和以前版本不兼容的情况，就会导致整个项目无法正常启动。
二、根据npm报错的sha…值到package-lock.json中ctrl + f 找到是哪个具体包的integrity，然后把这个包的整体信息删除。重新npm install 这样整个安装过程就只会更改有问题的这个包，并且package-lock.json会重新生成这个包的依赖项。
三、和二类似，就是如果能从报错信息中明确看到是哪个具体的包，可以直接先执行 npm uninstall '包名' 把这个包卸载了，然后在执行npm install 最后不要忘记把这个已经卸载的包也重新安装回来，此时package-lock.json也会自动更新这个包的信息生产新的integrity值