Composer 配置 GitHub Token 的真实原因
不是为了“授权”,而是绕过 GitHub 的匿名请求限流。没配 token 时,composer install 或 composer update 拉私有库、甚至某些高频访问的公开包(比如带大量 fork/submodule 的),会直接报 403 rate limit exceeded 或卡在 Cloning into... —— 这其实是 GitHub 在拒绝未认证的 API 请求。
Composer 本身不“登录”GitHub,它只是把你的 token 当作 HTTP Header 里的 Authorization: Bearer xxx 发给 GitHub API。所以你不需要在 Composer 里点任何“授权按钮”,只管塞进去就行。
怎么加 token:全局配置 vs 项目级配置
绝大多数情况用全局配置就够了,避免每个项目重复操作。token 存在 auth.json 里,路径是:~/.composer/auth.json(Linux/macOS)或 %APPDATA%\Composer\auth.json(Windows)。
- 手动创建该文件,写入:
{
"github-oauth": {
"github.com": "ghp_abc123def456..."
}
}
ghp_... 是你在 GitHub Settings → Developer settings → Personal access tokens → Generate new token 下生成的 token,必须勾选 repo(读私有库)和 read:packages(如果用 GitHub Packages)。
- 更安全的做法是用命令行写入(自动处理权限和路径):
composer config -g github-oauth.github.com ghp_abc123... - 别用
composer config github-oauth.github.com ...(不带-g),那会写进当前项目的auth.json,容易误提交到 Git - Windows 用户注意:PowerShell 里
$符号要转义,建议用 CMD 或直接编辑文件 - token 过期或被删了 → 去 GitHub 重新生成,再跑一遍
composer config -g github-oauth.github.com 新token - 提示
Could not authenticate against github.com→ token 权限不够,确认勾了repo;也可能是复制时多了空格或换行,用composer config -g github-oauth.github.com查看是否原样存进去了 - 拉私有 repo 仍失败,但 public 包正常 → 检查该私有库是否设为 “Private”,且你的 GitHub 账号确实在这个 repo 的 collaborator 列表里;Composer 不识别 org-level SSO,如果组织启用了 SSO,得先在 GitHub 上 approve 该 token
- CI 环境(如 GitHub Actions)里失效 → 别硬编码 token,用
${{ secrets.GITHUB_TOKEN }}注入,并在auth.json中引用环境变量(Composer 2.2+ 支持):"github.com": "${GITHUB_TOKEN}"
常见错误现象和对应解法
配完还是报错?大概率是下面这几个点没对上:
Token 权限和安全性提醒
别图省事开全权限(admin:org、delete_repo)。只要求 repo 就够了——Composer 只做 clone 和 metadata 查询,不 push、不 delete。
如果你的项目要上 CI/CD,或者团队共用一台构建机,记住:auth.json 文件权限必须是 600(Linux/macOS),否则 Composer 会拒绝读取并静默跳过;Windows 上则要确保文件没被标记为“只读”。
真正容易被忽略的是:token 一旦泄露,就等于把 GitHub 账号交出去。所以别 commit、别 log、别贴在 issue 里。哪怕只是一次调试输出 echo $GITHUB_TOKEN,都可能被日志系统捕获。
