一、如何确定正确的校验和 #

要搞清楚哪个校验和是有效的，你可以按这几个步骤操作：

1. 查询npm官方仓库的包信息
   在终端运行以下命令，直接获取官方认可的校验和：

   # 先查询lazy-debug-legacy@0.0.1的官方校验和
   npm view lazy-debug-legacy@0.0.1 integrity
   # 如果上面查不到结果，试试查询lazy-debug@0.0.3的（因为你的lock文件里实际拉取的是这个包）
   npm view lazy-debug@0.0.3 integrity
   

   命令返回的结果就是官方认定的正确校验和，和它匹配的lock文件记录才是对的。

2. 手动下载包并计算校验和
   如果npm查询没结果，你可以手动下载对应的包文件，自己计算sha1值：

   • 下载链接：https://registry.npmjs.org/lazy-debug/-/lazy-debug-0.0.3.tgz
   • 用终端命令计算sha1：

     # macOS/Linux系统
     shasum lazy-debug-0.0.3.tgz
     # Windows PowerShell系统
     Get-FileHash -Path lazy-debug-0.0.3.tgz -Algorithm SHA1
     

   把计算结果和你两个lock文件里的sha1值对比，匹配的就是正确的校验和。

另外要注意：你的两个lock文件里都有个异常点——lazy-debug-legacy@0.0.1对应的下载链接却是lazy-debug@0.0.3的包，这大概率是依赖链解析时的问题（比如lazy-debug-legacy是lazy-debug的别名，或者包发布时的命名/版本错误），这也是校验和冲突的根源之一。

二、为什么本地机器能成功安装两个冲突的项目 #

这主要和npm的缓存机制以及版本行为差异有关：

1. 本地缓存的复用逻辑
   当你第一次安装项目A时，npm已经把lazy-debug-0.0.3.tgz下载到了本地缓存目录（一般是~/.npm），并缓存了它的校验和sha1-gswqb03PNvrPDHp5RoV7/2KCisc=。之后安装项目B时，npm会优先检查本地缓存，部分旧版本的npm可能直接复用缓存文件，跳过了lock文件里另一个校验和的验证，所以不会报错。

2. npm版本差异导致的校验严格度不同
   不同版本的npm对lock文件的校验规则不一样。较新的npm版本会强制校验integrity，但一些旧版本在缓存存在时会放松校验逻辑，这就导致你本地能正常安装，而另一台机器（可能npm版本不同，或者缓存里没有该包）就触发了校验失败。

修复建议 #

• 先确定正确的校验和，然后手动更新项目B的package-lock.json里lazy-debug-legacy的integrity值为正确的那个，再重新执行npm install。
• 也可以尝试清空本地npm缓存（npm cache clean --force），然后重新安装项目B，让npm重新下载包并自动生成正确的integrity值到lock文件。
• 检查debug-fabulous的依赖声明，确认它是否正确依赖了lazy-debug-legacy，还是误写了依赖名，从根源解决依赖解析的异常。

内容的提问来源于stack exchange，提问作者ZoolWay