composer config 默认修改当前项目 composer.json 的 config 字段;加 --global 才改全局 ~/.composer/config.json,凭据类配置(如 github-oauth)必须用 --global,否则无效。
config 指令改的是哪个配置文件?
composer config 默认修改当前项目根目录下的 composer.json 文件的 config 字段,不是全局的 ~/.composer/config.json。只有加了 --global 才动全局配置。
常见错误现象:
- 运行
composer config -g repo.packagist composer <a href="https://www.php.cn/link/dc02ae8025eef0ecde61b00bb780abdb">https://www.php.cn/link/dc02ae8025eef0ecde61b00bb780abdb</a>后,项目里composer install仍走官方源 → 因为没加-g,改的是当前项目的composer.json,而该字段对源地址无效(源要用repositories) - 误以为
composer config bin-dir会自动创建目录 → 它只写进配置,不创建物理路径,后续composer install才会尝试建
使用场景:
- 调整 vendor 目录位置(
vendor-dir) - 设置私有包下载超时(
process-timeout) - 关闭脚本执行(
disable-tls,仅调试用,不推荐)
注意:有些键名在项目级和全局级行为不同,比如 github-oauth 只在全局生效,项目级设了也无效。
哪些 config 键必须用 --global?
github-oauth、gitlab-token、http-basic 这类凭据类配置,只能写入全局配置,否则 Composer 不读取。
参数差异:
-
composer config github-oauth.github.com abc123→ 报错:“Invalid configuration key” - 正确写法是:
composer config --global github-oauth.github.com abc123
性能 / 兼容性影响:
- 全局凭据配置被所有项目共享,换机器或 CI 环境需重新设置
-
http-basic若配在项目级,commit 到 Git 会泄露密码(别这么干)
容易踩的坑:
- 把 auth.json 里的内容直接塞进项目 composer.json 的 config 里 → Composer 忽略
- 在 CI 中用 --global 配置但没清缓存,导致旧 token 仍生效 → 加 composer clear-cache 更稳妥
vendor-dir 和 bin-dir 改了之后要注意什么?
这两个路径改完不会自动迁移已有文件,vendor/ 和 bin/ 下的内容仍留在原处,下次 composer install 才会写到新位置。
使用场景:
- Laravel 项目想把
vendor移到third-party/(少见但可行) - 多项目共用一个
bin-dir,避免重复生成二进制文件
实操建议:
- 先删掉旧 vendor/ 和 bin/ 目录(确保没自定义脚本依赖它们)
- 再运行 composer config vendor-dir third-party
- 最后 composer install
- 检查 autoload.php 路径是否还指向旧位置(Laravel 的 bootstrap/autoload.php 或现代项目的 vendor/autoload.php 引用可能要手动更新)
process-timeout 和 store-auths 怎么配合 CI 使用?
process-timeout 控制命令执行最长等待时间(单位秒),默认 300;CI 环境常因网络慢或大包卡住,可设为 0(不限时)或 600。
store-auths 决定 Composer 是否把私有源账号密码存进 auth.json。CI 中应设为 false,靠环境变量或临时配置注入凭据,避免残留。
常见错误现象:
- CI 构建失败报
file_get_contents(): SSL operation failed→ 很可能是process-timeout太短,连不上私有源 - 本地
composer install成功,CI 失败且提示 “Could not fetch https://www.php.cn/link/7b42e2bdd7970b25e929cfd12c64f23c” →store-auths为true,但 CI 没登录,也没传凭据
实操建议:
- CI 中用 composer config --global process-timeout 0
- 用 composer config --global store-auths false
- 凭据通过 COMPOSER_AUTH 环境变量传入(格式为 JSON 字符串)
Composer 的 config 看似简单,但键值作用域(项目/全局)、是否触发文件重建、与 auth.json 的分工,这几个地方一混淆就白调半天。特别是 repositories 和 config 混用时,很容易以为改了源地址,其实只是改了个无关字段。
