在无 ssh 权限主机上使用 composer 的核心是强制通过 httpS 拉取依赖:配置 github-protocols 或 git url.insteadOf 重写 SSH 为 https,确保 composer.json 中仓库 URL 为 HTTPS,优先使用 –prefer-dist 安装 dist 包。
在没有 SSH 权限的主机上使用 Composer,核心思路是让 Composer 完全通过 HTTPS(或 HTTP)协议拉取依赖,避免触发 Git 的 SSH 协议(如 git@github.com:user/repo.git)。这通常涉及重写 Git URL、配置 Composer 行为、以及确保目标仓库支持 HTTPS 克隆。
强制 Composer 使用 HTTPS 替代 SSH
Composer 默认会按 composer.json 中声明的 VCS URL(如 GitHub 的 SSH 地址)执行克隆。若你无法使用 SSH,需统一将其映射为 HTTPS 地址:
- 在项目根目录运行:
composer config --global github-protocols https
该命令告诉 Composer 优先用 HTTPS 访问 GitHub(适用于 GitHub 托管的包)。 - 更通用的做法是配置 Git 本身(如果主机有 Git 且可配置):
git config --global url."https://github.com/".insteadOf "git@github.com:"
这样所有形如git@github.com:user/repo的地址都会被自动转成https://github.com/user/repo。 - 对其他平台(如 gitlab、Bitbucket),同样可用
git config --global url."https://gitlab.com/".insteadOf "git@gitlab.com:"类推。
修改 composer.json 中的仓库定义
如果你在 composer.json 中手动添加了 repositories(比如私有包),务必使用 HTTPS URL:
- ✅ 正确(HTTPS):
"url": "https://gitlab.example.com/mygroup/mypackage.git" - ❌ 错误(SSH,会失败):
"url": "git@gitlab.example.com:mygroup/mypackage.git" - 若必须用私有 Git 仓库,确保它已启用 HTTPS 克隆(含有效证书),并可通过浏览器或
curl -I https://...验证可访问。
跳过 SSH 密钥验证与 Git 子模块(如需)
某些包可能含 Git 子模块,或 Composer 在安装时调用 git clone 命令——若底层仍走 SSH,会卡住。可临时禁用 SSH 检查(仅限可信环境):
- 设置 Git 环境变量(运行 Composer 前):
export GIT_SSH_COMMAND="ssh -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/NULL"
⚠️ 注意:这降低安全性,生产环境不推荐;仅用于调试或内网可信场景。 - 更稳妥的方式是确保所有子模块 URL 本身也是 HTTPS,并在仓库中用
.gitmodules显式声明 HTTPS 地址。
使用 dist 包而非 source(推荐)
Composer 默认优先尝试从源码(source)安装(即 Git 克隆),但若包在 Packagist 上已发布,它也会回退到预编译的 dist ZIP 包(通过 HTTPS 下载):
- 运行:
composer install --prefer-dist
强制只下载 ZIP 包,完全绕过 Git。 - 检查
composer.json是否含"prefer-stable": true和未锁定 dev 分支——稳定版更大概率提供 dist。 - 若某包始终走 source,可在
composer.json中显式指定:"myvendor/mypackage": "^1.0"(不带@dev或#branch后缀)。
基本上就这些。关键不是“不用 Git”,而是让 Git 走 HTTPS,或让 Composer 直接跳过 Git。操作不复杂但容易忽略全局 Git URL 重写和 --prefer-dist 这两个点。