npm/yarn/pnpm切换Nexus仓库源时如何避免重复下载包？

根本原因是：Nexus 作为私有仓库代理时，默认会缓存公共仓库的元数据和包，但当你切换回公共仓库时，npm/yarn/pnpm 的本地缓存里仍然保留着之前通过 Nexus 拿到的 tarball URL 缓存，这些 URL 是 Nexus 内部生成的代理地址（比如 https://nexus.example.com/repository/npm-group/lodash/-/lodash-4.17.21.tgz），而公共仓库压根不认识这个 URL，所以会去公共 registry 请求这个路径——结果当然是 404。

更严重的是，如果 Nexus 上配置了 “禁止代理缓存过期” 或 “强制离线模式”，或者你手动删过缓存但没清掉 lockfile 里的 tarball 字段，就会导致工具继续尝试访问那些失效的 URL。



我分三步说怎么彻底解决，按优先级来：

第一步：确认 Nexus 的代理配置是否合理

进入 Nexus UI，找到你的 npm proxy repository（比如叫 npm-proxy），检查：

- Remote Storage 里是不是指向了 https://registry.npmjs.org/（注意最后带斜杠）
- Download Remote Indexes 要勾上，否则本地无法查到最新版本
- Storage 标签页里 Blob store 要用独立的（别用 default）
- 最关键的是 Proxy 标签页里的 Negative Cache Duration，建议设成 0 或很小的值（比如 60 秒），否则 Nexus 会缓存 404 结果导致你以为包不存在

如果你用的是 group 类型仓库（比如 npm-group），确保它把 proxy 放在最前面，且 host（私有发布仓库）在后面。



第二步：统一清理三类缓存（不同工具方式不同）

很多人只删了 ~/.npm/_cacache，但忘了另外两个致命缓存源：

- npm 会缓存 tarball 的完整 URL 到 ~/.npm/_cacache/content-v2 和 ~/.npm/_cacache/index-v5，但更坑的是 package-lock.json 里可能直接写死了 tarball 字段（尤其是用过 npm install --package-lock-only 之后）
- yarn v1/v3 会把 URL 存在 ~/.yarn-cache 和 yarn.lock 的 resolved 字段里
- pnpm 用的是 ~/.pnpm-store 和 pnpm-lock.yaml 的 dependencies 下的 resolved 字段

所以必须三连清：

1. 删除本地缓存目录（按工具）：
- npm：rm -rf ~/.npm/_cacache
- yarn：rm -rf ~/.yarn/cache（v1）或 rm -rf ~/.yarn/berry/cache（v3）
- pnpm：pnpm store prune（推荐）或直接删 ~/.pnpm-store

2. 强制忽略 lockfile 的 resolved 字段（关键！）：
- npm 用 --no-package-lock 或 npm install --package-lock-only=false（新版支持）
- yarn v1 加 --no-lockfile，v3 加 --no-lockfile-update
- pnpm 加 --lockfile-only 后再 pnpm install --no-lockfile-update（但更推荐直接删 lockfile 里所有 resolved 字段）

3. 手动清掉 lockfile 里的 tarball URL（最彻底）：
比如 package-lock.json 里找到类似：

"lodash": {

  "version": "4.17.21",

  "resolved": "https://nexus.example.com/repository/npm-group/lodash/-/lodash-4.17.21.tgz",

  "integrity": "sha512-..."

}

直接把 resolved 这一行删掉（或改成空字符串），让工具重新向 registry 请求最新 tarball 地址。注意：不能只删 URL 改成空字符串，要整个字段删掉，否则某些工具会报错。



第三步：用统一的 registry 策略，避免手动切换

最省心的方式是别用 npm config set registry 这种全局切换——它只改了当前用户的 registry 地址，但不会动 lockfile 和缓存里的 URL。

改用以下任一方案：

- 用 .npmrc 文件按项目隔离（推荐）：
在项目根目录放一个 .npmrc，内容：

registry=https://nexus.example.com/repository/npm-group/

换公共仓库时，直接把这行注释掉或删掉（别用 # 注释，有些老版本 npm 不认），然后重装依赖。这样 lockfile 不会被污染，因为每次都是新 registry 解析。

- 如果必须用公共源，临时用 NPM_CONFIG_REGISTRY 环境变量覆盖：

NPM_CONFIG_REGISTRY=https://registry.npmjs.org npm install

这样只影响这一次 install，不会改全局配置，也不会让 lockfile 记录 Nexus 的 URL。

- 用 npmrc 的 save-prefix 和 cache 配合：
在项目根的 .npmrc 里加：

save-prefix=~

cache=~/.npm-cache-${CI_COMMIT_REF_SLUG}

这样每个 CI 分支用独立缓存，本地开发切源时也不受影响。



最后说个真实踩坑经验：如果你用的是 Nexus 3.x，它有个隐藏坑——npm proxy 默认的 Max Component Size 是 100MB，如果某个包（比如 chromium 或 electron）超过这个大小，Nexus 会直接返回 404，但日志里不报错。进 Storage 设置里把 Max Component Size 改成 1024（单位 MB）再试，亲测解决过好几次类似问题。

再补充一句：pnpm 的 shamefully-hoist 或 strict-peer-dependencies 不会影响这个，但 auto-install-peers 如果开的话，会触发更多网络请求，建议关掉再试。

按这三步走完，基本不会再有 404 问题了。如果还有，把你的 .npmrc 和 Nexus 仓库配置贴出来，我帮你看看是不是配置文件里藏了什么奇怪参数。

这个问题确实挺烦人的，本质上是因为不同源的包在缓存里会被当作不同的包处理，所以切换源的时候会重新下载。一般这样处理：

首先确认你的Nexus私有仓库配置了正确的uplink，确保它能代理到官方源。如果私有源没配好代理，切换回公共源时就会出现找不到包的问题。

然后重点来了，你需要统一缓存路径来避免重复下载。对npm、yarn和pnpm分别设置环境变量或配置：

对于npm，可以设置 npm config set cache 指定一个全局缓存目录，比如 ~/.npm-cache，然后通过 npm config set registry 切换源时缓存就能复用。

yarn的话稍微麻烦点，需要在 .yarnrc 文件里加上 --mutex network 和 --cache-folder 配置，指定一个固定的全局缓存路径。

pnpm也有类似的机制，可以通过 pnpm config set store-dir 设置一个全局的store目录，保证不同源的包都能共享同一个存储位置。

最后一个小技巧，如果你经常需要切换源，可以写个简单的脚本来同时切换registry和缓存路径，省得每次都手动设置。比如用shell写个函数：

switch_registry() {

  if [ "$1" = "internal" ]; then

    npm config set registry http://your-nexus-registry

    export YARN_CACHE_FOLDER=~/.yarn-cache-internal

    pnpm config set store-dir ~/.pnpm-store-internal

  else

    npm config set registry https://registry.npmjs.org

    export YARN_CACHE_FOLDER=~/.yarn-cache-public

    pnpm config set store-dir ~/.pnpm-store-public

  fi

}

这样每次切换源的时候，缓存路径也会跟着一起切换，能有效避免重复下载的问题。记得根据实际情况调整路径和域名。