installed.json 是 Composer 维护的 vendor 目录状态镜像文件,记录已安装包的名称、版本、路径、autoload 配置、依赖关系及开发/启用状态,用于自动加载器生成、依赖查询与插件扩展,不参与代码执行,不应提交至 Git。
installed.json 是 Composer 在项目中自动生成并维护的核心元数据文件,位于 vendor/composer/installed.json。它不参与代码执行,也不被 PHP 直接加载,但它是 Composer 运行时依赖解析、自动加载、插件激活、版本校验等关键行为的**事实数据源**。
记录已安装包的完整快照
每次成功执行 composer install 或 composer update 后,Composer 会将当前 vendor/ 目录下所有已安装包(包括 root 包)的精确信息写入该文件。内容包含:
- 每个包的名称、版本号(含完整 commit hash 或 exact version)、安装路径(如
vendor/symfony/console) - 该包的 autoload 配置(psr-4、psr-0、classmap、files 等),用于生成
vendor/autoload.php - 依赖关系快照(
require列表),但仅作记录,不用于实时解析 - 是否为开发依赖(
dev字段标记)、是否启用(enabled字段,供插件控制)
这个文件本质上是 vendor/ 的“状态镜像”——它告诉你此刻磁盘上真实存在哪些包、以什么形态存在,而非 composer.lock 所声明的“应该存在什么”。
支撑自动加载器的动态构建
Composer 的自动加载逻辑(即 vendor/autoload.php 及其生成的 vendor/composer/autoload_*.php 文件)并非静态写死,而是在每次 dump-autoload 或安装时,**读取 installed.json 中所有包的 autoload 配置,合并后生成最终映射表**。这意味着:
- 如果你手动修改了某个包的
composer.json中的 autoload 规则但未重新 dump,变更不会生效 - 插件(如
composer-plugin-api实现者)可通过监听事件,在安装后动态向installed.json注入或修改 autoload 条目 - 当使用
--no-autoloader安装时,installed.json仍会被写入,但 autoload 字段可能为空或被跳过
服务运行时依赖查询与插件扩展
Composer 自身命令(如 composer show、composer outdated)以及第三方插件,普遍通过读取 installed.json 获取本地已安装包的真实状态:
-
composer show --installed不解析composer.lock,而是直接解析此文件输出表格 - 插件可利用其中的
version和dist.reference字段做灰度加载、运行时补丁注入 - 某些部署工具(如 Capistrano + Composer 插件)用它校验 vendor 是否完整,避免仅靠
vendor/目录是否存在来判断安装成功
注意:它不包含远程仓库信息或哈希校验值(那是 composer.lock 的职责),也不保证结构稳定——Composer 主版本升级可能调整字段名或嵌套层级。
与 composer.lock 的关键区别
很多人混淆 installed.json 和 composer.lock,二者定位截然不同:
- composer.lock 是声明式锁文件:描述“本次安装应达成的状态”,用于跨环境复现,提交进 Git
- installed.json 是反映式状态文件:描述“当前 vendor 目录实际达成的状态”,是运行时产物,不应提交,且每次安装后都会重写
-
lock文件缺失会导致install退化为update;而installed.json缺失只会让 Composer 在下次安装时重建它(不影响功能) - 你可安全删除
installed.json,再运行composer install,它会立刻恢复;但删掉composer.lock再 install,结果很可能不同
