将gitlab/gitee配置为composer私有仓库的核心是安全自动拉取包,需满足:项目含合规composer.json、配置vcs型repositories、通过pat或ssh设置免密认证,并使用语义化标签管理版本。
把公司内部的 GitLab 或 Gitee 配置为 Composer 的私有仓库,核心是让 composer install 和 composer require 能安全、自动地拉取私有项目(比如内部公共组件、SDK、基础服务包等)。关键不在“能不能”,而在“怎么配得稳、用得顺、管得住”。
一、确保私有仓库项目已正确发布为 Composer 包
你的私有项目(如 company/utils)必须满足 Composer 的基本规范:
- 根目录下有
composer.json,且含合法name(格式为vendor/name,如acme/utils),version或通过 Git tag 管理版本(推荐用v1.0.0这类语义化标签) - 代码可公开克隆(HTTP/HTTPS 或 SSH),但访问需认证(后面会配置凭证)
- 建议开启 GitLab/Gitee 的 Package Registry(非必需,但能统一管理 .phar/.zip 包;Composer 默认走源码方式,所以先不强依赖它)
二、在项目中声明私有仓库源(v2 推荐方式)
从 Composer 2.0+ 开始,推荐使用 repositories + type: vcs 方式,无需改全局配置,更清晰可控。
在你业务项目的 composer.json 中添加:
"repositories": [
{
"type": "vcs",
"url": "https://gitlab.example.com/acme/utils.git"
},
{
"type": "vcs",
"url": "https://gitee.com/acme/sdk.git"
}
]
✅ 这样 Composer 就知道去哪找 acme/utils 的源码了。但注意:GitLab/Gitee 的私有仓库需要认证,否则会报 401 或 Cloning into ... Permission denied。
三、配置访问凭证(避免每次输密码)
不能把账号密码写进 composer.json,也不能每次手动输。推荐两种安全方式:
-
用个人访问令牌(PAT)配合 HTTPS + 凭据缓存:
① GitLab/Gitee 后台生成一个只读令牌(权限最小化,如read_repository)
② 运行:git config --global url."https://oauth2:<token>@gitlab.example.com/".insteadOf "https://gitlab.example.com/"</token>git config --global url."https://oauth2:<token>@gitee.com/".insteadOf "https://gitee.com/"</token>
✅ 后续所有git clone和 Composer 拉取都会自动带上令牌 -
用 SSH 密钥(适合已有 SSH 基础的团队):
① 本地生成 SSH key(ssh-keygen -t ed25519),公钥添加到 GitLab/Gitee 账户
② 把仓库 URL 改成 SSH 格式:git@gitlab.example.com:acme/utils.git
✅ Composer 自动走 SSH 认证,无需额外配置
四、安装与日常使用注意事项
配置完成后,执行以下操作验证:
- 运行
composer require acme/utils:^1.0—— 应能自动 clone 并安装 - 若提示
Could not find package acme/utils,先运行composer clear-cache,再检查仓库 URL 是否拼写正确、网络是否可达、token 是否过期 - 上线部署时,确保目标服务器也配置了相同凭证(比如部署机也要有 PAT 或 SSH key)
- 不建议在
composer.json中写死 dev 分支(如"dev-main"),尽量用带标签的稳定版本,避免意外更新破坏生产环境
基本上就这些。不复杂但容易忽略细节——关键是凭证可靠、URL 正确、版本可追溯。配好一次,后续所有内部包都能像 public packagist 一样自然使用。
