root package是项目根目录下含composer.json的自身项目,非vendor内依赖;其config、scripts(如post-root-package-install)、minimum-stability等字段仅在此处生效,依赖包中声明无效。
root package 就是你正在开发的那个项目本身——即项目根目录下有 composer.json 的那个包,比如 my-company/my-admin-app。它不是 vendor/ 里的任何依赖,而是 Composer 所有操作的“主人”。
为什么必须分清 root package 和依赖包?
因为配置权限和行为逻辑完全不同:
– config 字段只能在 root package 中生效,依赖包里写 config 直接被忽略;
– scripts(如 post-root-package-install)只对 root 触发,且时机特殊;
– type 字段设为 project 或留空,才能避免 “cannot be licensed as it is not a library” 报错;
– 自动加载规则(autoload)定义的是你自己的代码怎么被加载,不是第三方库的。
哪些字段只属于 root package?
这些字段在依赖包的 composer.json 中即使写了也无效,只在你的项目根目录下起作用:
– config:控制镜像源、缓存路径、git 配置等;
– scripts 中的 post-root-package-install、post-create-project-cmd 等事件钩子;
– minimum-stability 和 prefer-stable:影响整个项目依赖解析策略;
– repositories:可临时添加私有包源,仅 root 可声明。
常见误用:把 root 当成库来配
如果你开发的是一个 Web 应用(比如后台系统),却在 composer.json 里写:"type": "library",Composer 就会警告 “Root package cannot be licensed as it is not a library”。
正确做法是:
– 应用类项目:删掉 type 字段,或显式写 "type": "project";
– 可复用的 SDK 或组件库:才该用 "type": "library",且不应在它内部跑 composer install —— 它该被别人 require,而不是自己当 root 跑。
post-root-package-install 到底什么时候执行?
它**只在 composer create-project 过程中触发一次**,且严格满足三个条件:
– 当前是空目录(无 vendor/);
– 正在解包 root package(即你的项目骨架);
– vendor/autoload.php 还没生成,所以:
• 不能 require 'vendor/autoload.php';
• 不能调用 symfony/console 或 laravel/framework 里的类;
• 只能用原生 PHP(php -r)、shell 命令(cp、mkdir -p)做文件初始化。
post-create-project-cmd 不是一回事——后者在所有依赖装完、autoloader 写好之后才运行,才能安全调用 php artisan key:generate 这类命令。混用这两个,八成会报 Class not found。 
