store-auths是Composer用于控制是否自动保存私有仓库认证信息的配置项,可设为true全局启用、false禁用或指定域名启用,认证凭据存于auth.json文件,推荐使用全局auth.json并配合.gitignore保护敏感信息,提升安全与效率。
Composer 可以通过配置 store-auths 来持久化保存私有仓库(如私有 Packagist、GitLab、GitHub 等)的认证信息,避免每次执行命令时重复输入凭证。以下是具体配置方法。
什么是 store-auths?
在 Composer 中,store-auths 是一个配置项,用于控制是否将认证信息自动保存到本地配置文件中(通常是 auth.json),从而实现持久化存储。它主要针对访问需要身份验证的私有包仓库或 Git 资源。
配置 store-auths 的方式
你可以通过以下几种方式设置 store-auths:
-
全局设置允许保存认证信息:
执行命令:composer config --global store-auths true
这会将配置写入全局config.json(通常位于~/.composer/config.json),表示允许 Composer 自动保存认证凭据。 -
禁止保存认证信息:
如果你不想保存任何认证,可以设为false:composer config --global store-auths false
此时即使输入了账号密码,也不会被记录。 -
仅对特定域名启用保存:
你也可以只对某些域名开启保存,例如:composer config --global store-auths "your-private-packagist.com" true
或者在auth.json中手动配置:{ "http-basic": { "your-private-packagist.com": { "username": "your-username", "password": "your-token" } } }这样 Composer 就不会再提示输入凭证。
认证信息保存位置
Composer 会将认证信息保存在独立的 auth.json 文件中,优先级如下:
- 项目根目录下的
auth.json(仅作用于当前项目) - 全局的
~/.composer/auth.json(作用于所有项目)
推荐使用全局 auth.json 管理常用私有仓库的认证,避免敏感信息误提交到版本控制。
安全建议
- 不要将
auth.json提交到 Git 仓库,应在.gitignore中加入:
auth.json
- 使用 API token 或 OAuth token 替代明文密码,提高安全性。
- 定期检查和清理不再使用的认证信息。
基本上就这些。正确配置 store-auths 后,Composer 在访问受保护资源时会自动使用已保存的凭证,提升开发效率同时保障安全。
