私有 packagist 应用 github packages、gitlab package registry 或 artifactory/nexus 替代;satis 仅适合静态镜像,需正确配置 repositories 类型为 composer、url 以 / 结尾,并通过 auth.json 管理 token。
私有 Packagist 用什么替代?别折腾原生 Packagist
原生 Packagist.org 不支持私有包托管,官方也明确不提供私有部署方案。真要搭内部包仓库,Satis 或 Private Packagist(商业)是主流选择,但绝大多数团队其实该用 GitHub Packages、GitLab Package Registry 或自建 Artifactory/Nexus —— 它们更稳定、权限可控、和 CI/CD 集成顺滑。
常见错误现象:composer install 报错 Could not find package xxx at any version,本质是 Composer 根本没连上你的私有源,不是包没发布成功。
-
Satis适合纯静态镜像(比如只同步公开包),不适合高频更新的私有开发流 - 若用 GitHub/GitLab,必须在
composer.json的repositories里显式声明类型为composer,不能只写 URL - 认证方式优先选
auth.json+token,别把 token 硬编码进composer.json
怎么让 Composer 认得你的私有源?repositories 配置细节
关键不在“加一个源”,而在“让这个源被正确识别并参与依赖解析”。Composer 默认只信任 packagist.org,其他源必须手动注册,且类型必须匹配后端服务返回的元数据格式。
使用场景:你已部署好 Satis 页面(如 https://pkgs.example.com),或开了 GitHub Packages 的 Composer registry(如 https://maven.pkg.github.com/owner/repo)。
- 类型必须写对:
"type": "composer"(Satis / GitHub Packages / Artifactory 都适用),不是package或vcs - URL 必须以
/结尾,否则 Composer 会拼错packages.json路径,报404 - 多个私有源按顺序查找,靠前的源里有同名包就不再往后查 —— 这会影响版本优先级
- 示例片段:
"repositories": [ { "type": "composer", "url": "https://pkgs.example.com/" } ]
auth.json 放哪?权限失效的三个典型位置
Composer 读取认证凭据的顺序是:CWD/auth.json → $COMPOSER_HOME/auth.json → $HOME/.composer/auth.json(旧版)。放错地方,就会反复提示 Authentication required 却死活登不上。
容易踩的坑:
- CI 环境里没设
$COMPOSER_HOME,结果它去读了空的全局auth.json,而不是你传进去的临时文件 - 用
composer config --global写入 token,实际写到了用户目录,但 Docker 容器里根本没挂载那个路径 - GitHub Packages 要求 token 权限含
read:packages和delete:packages(如果要publish),缺一不可 - GitLab 的
private-token必须绑定到项目级 scope,不能只开 group 级权限
为什么 composer update 慢得像卡住?镜像同步不是万能解
很多人以为搭个内部镜像站就能飞快 update,结果发现首次运行还是耗时几分钟 —— 因为 Composer 在解析依赖图时,仍会逐个向每个源发起 GET packages.json 请求,哪怕你只用了其中 1 个源。
性能影响点:
- 禁用 packagist.org 默认源:
"packagist.org": false必须写在repositories顶层,否则它仍会尝试连接 - Satis 镜像不会自动刷新,需定时跑
satis build,否则新 tag 永远不会出现在镜像里 - GitHub Packages 对未公开的包,每次请求都走鉴权链路,比本地 Nginx 反代慢 3–5 倍
- 真正提速的关键是缩小
require范围 + 锁定composer.lock,而不是堆镜像节点
最常被忽略的一点:私有包的 composer.json 里如果写了 "minimum-stability": "dev",Composer 就会主动拉取所有分支信息,拖慢整个过程 —— 生产环境应始终用 stable。
