composer_home 环境变量指定用户级配置目录(默认 ~/.composer),影响 auth.json、config.json 和插件缓存路径;它不改变项目级配置优先级,且在 ci/cd 中未隔离易致凭据冲突或缓存污染。
Composer 的 COMPOSER_HOME 环境变量怎么影响配置加载路径
Composer 启动时会先检查 COMPOSER_HOME 环境变量,如果设置了,就用它作为用户级配置目录(默认是 ~/.composer)。这个变量直接决定 auth.json、config.json 和插件缓存的落盘位置。
常见错误是:在 CI/CD 中多个 job 共享同一台机器,但没隔离 COMPOSER_HOME,导致凭据冲突或缓存污染。
- Linux/macOS 下可临时指定:
COMPOSER_HOME=/tmp/composer-tmp composer install - Windows 命令行需用
set COMPOSER_HOME=C:\temp\composer,PowerShell 用$env:COMPOSER_HOME="C:\temp\composer" - 该变量只影响「用户级」配置;项目级的
composer.json和auth.json(放在项目根目录)仍优先被读取
如何用环境变量覆盖 composer.json 里的配置项
Composer 支持在 config 段中使用 ${ENV_NAME} 语法读取环境变量,但仅限于部分字段——比如 process-timeout、fxp-asset 的仓库地址、http-basic 凭据等。
例如,在 composer.json 里写:
"config": {
"process-timeout": "${COMPOSER_PROCESS_TIMEOUT:-300}",
"http-basic": {
"repo.example.com": {
"username": "${REPO_USER}",
"password": "${REPO_TOKEN}"
}
}
}
注意:${VAR:-default} 是 Bash 风格的默认值语法,但 Composer **原生不支持** fallback,默认值必须由 shell 层展开(即你得用 bash -c 'composer install' 这类方式触发);否则未设置的变量会导致解析失败。
- 只支持字符串替换,不能用于布尔或数字字段的条件判断(如
"notify-on-install": "${CI:-false}"会报错) -
http-basic中的变量必须在运行时已存在,且不能含空格或特殊字符(否则认证头构造失败) - 敏感值(如 token)建议通过 CI 的 secret 注入,而非硬编码进
composer.json
auth.json 能否完全靠环境变量驱动而不落地文件
不能直接跳过 auth.json 文件,但可以绕过「写磁盘」这步:Composer 提供了 COMPOSER_AUTH 环境变量,接受 JSON 字符串形式的认证配置。
比如把私有仓库凭据注入为:
export COMPOSER_AUTH='{"http-basic":{"packagist.example.com":{"username":"user","password":"token"}}}'
这样 composer install 就不再读取磁盘上的 auth.json,也不会生成它。适合无写权限容器或临时构建环境。
-
COMPOSER_AUTH优先级高于COMPOSER_HOME/auth.json,但低于项目根目录的auth.json - JSON 必须是单行、合法格式,引号需转义(尤其在 shell 脚本里),推荐用
jq -c生成 - 若同时设了
COMPOSER_AUTH和磁盘auth.json,后者会被忽略——但 Composer 不校验前者是否真能连上仓库,出错时才暴露
为什么 COMPOSER_MEMORY_LIMIT 设了却没生效
这个变量不是给 Composer 自己用的,而是用来覆盖 PHP 的 memory_limit ini 设置——仅在 Composer 通过 php 命令行调用子进程(比如执行脚本、插件或 dump-autoload)时起作用。
典型误区:以为设了 COMPOSER_MEMORY_LIMIT=-1 就能解决所有内存不足问题,其实它不控制 Composer 主进程本身的内存分配。
- 真正生效的场景是:运行
composer run-script或某些 require-dev 的工具(如 phpstan、psalm)时,它们启动的 PHP 子进程会继承该限制 - 如果 Composer 自身报
Allowed memory size exhausted,应改用php -d memory_limit=-1 $(which composer) install - Docker 中设环境变量后还需确认基础镜像的 PHP ini 是否锁死了
memory_limit(比如php:8.2-cli默认是 128M)
环境变量和 Composer 的交集看似简单,但每个变量的作用域、生效时机、与文件配置的优先级关系都容易错位;最常被忽略的是 COMPOSER_AUTH 的 JSON 格式要求和 COMPOSER_HOME 对插件安装路径的连锁影响。
