auth.json 默认放项目根目录,也可全局放用户主目录;项目级优先且仅对当前项目生效,全局级对所有项目生效但会被项目级覆盖。
composer 的 auth.json 文件默认应放在项目根目录下(与 composer.json 同级),也可全局放在用户主目录中;安全关键在于避免提交到版本库、限制文件权限、不硬编码凭证。
auth.json 放在哪?两种位置的区别
Composer 会按顺序查找 auth.json,优先级从高到低:
- 项目级:放在项目根目录(如
/my-project/auth.json),只对该项目生效,推荐用于私有包认证(如 Packagist.org 私有令牌、私有 gitLab/Bitbucket 凭据) - 全局级:放在用户主目录下(linux/macOS 是
~/.composer/auth.json,windows 是%appDATA%Composerauth.json),对所有项目生效,适合通用配置(如公司统一的私有仓库 Token)
注意:项目级文件会覆盖全局同名配置;运行 composer config --auth http-basic.example.com username password 时,默认写入项目级,加 --global 才写入全局。
如何防止 auth.json 被意外提交到 Git
这是最常见的安全疏漏。必须确保该文件不进入版本控制:
- 把
auth.json加入项目根目录的.gitignore(哪怕它还不存在,也提前加上) - 如果已误提交,用
git rm --cached auth.json从索引中移除,并提交更新后的.gitignore - 检查是否暴露:运行
git ls-files | grep auth.json,无输出才表示已排除
文件权限与系统级保护
仅靠忽略 Git 不够,还需限制本地访问权限:
- Linux/macOS 下执行:
chmod 600 auth.json(仅属主可读写) - Windows 用户应确认该文件未被设为“Everyone 可读”,可通过属性 → 安全选项卡检查
- 避免在共享主机或 CI 环境中直接写入明文
auth.json,改用环境变量注入(如 Composer 2.2+ 支持COMPOSER_AUTH环境变量传入 JSON 字符串)
更安全的替代方案(推荐进阶使用)
对于团队或自动化场景,建议减少对 auth.json 文件的依赖:
- CI/CD 中用
composer config --auth动态生成(配合 secret 注入),任务结束即销毁 - 私有 Packagist 或 Satis 服务可启用 OAuth 或 IP 白名单,避免分发个人 token
- 用
composer config --unset repos.my-private-repo在不需要时及时清理临时源配置
基本上就这些。不复杂但容易忽略——关键是养成“不提交、限权限、少落地”的习惯。