配置私有仓库需在composer.json中添加repositories字段指定vcs或composer类型源,如git地址或私有packagist;通过https凭据或ssh密钥处理认证,推荐使用ssh;敏感信息应存于全局auth.json或ci/cd环境变量composer_auth;私有包需正确设置名称与版本标签,使用标签而非分支以确保依赖稳定。
配置私有仓库源
要在项目中使用私有仓库,需先在 composer.json 中声明仓库地址。支持的类型包括 VCS(Git)、Packagist 私有实例等。
常见做法是在 repositories 字段中添加 Git 仓库:
{
"repositories": [
{
"type": "vcs",
"url": "https://git.your-company.com/private-package.git"
}
],
"require": {
"your-company/private-package": "^1.0"
}
}
这样 Composer 就会从指定的 Git 地址拉取代码。注意:仓库必须公开可读,或配置认证信息。
处理身份认证
私有仓库通常需要登录凭证。Composer 提供多种方式管理认证:
- 使用 HTTPS + 用户名/令牌:将账号和访问令牌嵌入 URL 或由 Composer 配置存储
- 使用 SSH 密钥:推荐方式。配置好本地 SSH 公钥到 Git 服务器,Composer 自动使用默认密钥(如 ~/.ssh/id_rsa)
若用 HTTPS 并希望避免每次输入密码,可运行以下命令保存凭据:
composer config http-basic.git.your-company.com username your-token
该命令会在 auth.json 文件中保存认证信息(建议不提交到版本控制)。
使用私有 Packagist 服务
如果你的企业使用 Satis、Private Packagist 或 Toran Proxy 这类私有包镜像服务,只需将仓库类型设为 composer:
{
"repositories": [
{
"type": "composer",
"url": "https://packagist.your-company.com"
}
]
}
之后所有匹配的包都会从该源获取,无需逐个指定 Git 地址。
最佳实践建议
- 将敏感认证信息放在项目外的全局 auth.json(位于 ~/.composer/auth.json)
- 在 CI/CD 环境中通过环境变量注入凭证,例如设置 COMPOSER_AUTH
- 确保私有包的 composer.json 中正确设置名称和版本标签
- 使用版本标签(如 v1.0.0)而非分支,提升依赖稳定性
基本上就这些。只要仓库可访问且认证配置正确,Composer 会像处理公开包一样安装私有依赖。关键是把源配对,再把钥匙给够。
