配置私有仓库需在composer.json中添加repositories字段指定vcs类型地址,并通过SSH密钥或HTTPS+Token方式认证,推荐使用auth.json存储凭证;私有包需正确设置name和版本标签,避免将敏感信息提交至版本控制,确保CI/CD环境可访问仓库。
在使用 Composer 管理 PHP 项目依赖时,有时需要引入存放在私有仓库(如私有 Git 服务器、GitLab、GitHub 私有仓库等)中的包。默认情况下 Composer 只能加载 Packagist 上的公开包,要加载私有仓库的包,需手动配置自定义仓库并处理认证问题。以下是具体实现方法。
配置私有仓库地址
在项目的 composer.json 文件中添加 repositories 字段,指定私有包的来源。支持多种类型,常见的是 vcs(版本控制系统)类型。
示例:假设你的私有包托管在 GitHub Enterprise 或私有 Git 仓库:
{
"repositories": [
{
"type": "vcs",
"url": "https://github.com/your-company/your-private-package"
}
],
"require": {
"your-company/your-private-package": "dev-main"
}
}
Composer 会通过 Git 克隆该仓库,并将其当作普通依赖安装。
处理身份认证
访问私有仓库需要身份验证,Composer 支持多种认证方式:
-
SSH 密钥(推荐):在本地配置 SSH 密钥对,并将公钥添加到 Git 服务器(如 GitHub/GitLab)。确保可以通过
git clone命令拉取代码。Composer 会自动使用系统 SSH 配置。 - HTTPS + Token:使用个人访问令牌(PAT)代替密码。可在 Git 平台生成 Token,并在执行 Composer 命令时提供。
- 配置 auth.json:将凭证保存在 auth.json 文件中,避免明文写入 composer.json。
{
"http-basic": {
"github.com": {
"username": "your-username",
"password": "your-personal-access-token"
}
}
}
该文件应放在项目根目录或 Composer 全局配置目录(如 ~/.config/composer/auth.json)。
私有包的命名与版本控制
确保私有包的 composer.json 中正确设置 name 和 version 或使用分支/标签作为版本约束。
- 使用
dev-前缀引用开发分支,如dev-main、dev-develop。 - 建议打 Git 标签(如 v1.0.0),以便按稳定版本引用。
- 包名应与 require 中一致,例如:
"your-company/your-private-package"。
注意事项
为保障安全和稳定性,请注意以下几点:
- 不要将 token 或密码提交到版本控制系统,auth.json 应加入 .gitignore。
- 确保 CI/CD 环境也能访问私有仓库,可通过部署密钥或环境变量注入凭证。
- 若使用 GitLab Package Registry 或 Satis 搭建私有镜像,可配置 type 为 composer 的仓库,提升加载效率。
基本上就这些。只要仓库可访问、认证配置正确,Composer 就能正常加载私有依赖。不复杂但容易忽略细节。
