composer 添加私有 git 仓库需在 composer.json 的 repositories 中配置 type: vcs 和可克隆的 Git URL,私有包 composer.json 必须声明匹配的 “name”,https 方式需通过 auth.json 配置 Token,ssh 方式需预置密钥,更新时注意版本约束与缓存问题。
Composer 怎么添加私有 Git 仓库作为包源
Composer 本身不直接“托管”私有包,而是通过配置 repositories 告诉它:某个包的 ZIP 或源码在哪、怎么拉。关键不是“上传包”,而是“让 composer install 知道去哪找”。
gitlab/github 私有仓库只要能被 Composer 机器访问(SSH 或 HTTPS + 凭据),就能当包源用。不需要额外发布到 Packagist。
- 必须用
type: vcs,不能写成package或composer - URL 必须是可克隆的 Git 地址(如
git@gitlab.example.com:team/utils.git或https://gitlab.example.com/team/utils.git) - 如果用 HTTPS,需提前配置 Git 凭据或启用
git config --global credential.helper store,否则交互式密码输入会卡住 CI - SSH 方式更稳,但需确保运行 Composer 的用户(如 CI runner)已部署对应 SSH key 且
~/.ssh/config配置正确
为什么 composer require vendor/package 找不到私有包
默认只查 packagist.org。即使你已在 composer.json 里加了 repositories,也得满足两个前提才能被识别:
- 私有仓库的
composer.json中必须声明"name",格式为"vendor/name"(如"acme/utils"),且和require时写的完全一致 -
"version"字段非必需,但建议在composer.json里设一个稳定值(如"1.0.0")或使用分支别名("dev-main as 1.0.x-dev"),否则 Composer 可能拒绝安装 - 若用
dev-分支名(如dev-feature/login),需显式指定:composer require acme/utils:dev-feature/login - 执行
composer update --lock后检查composer.lock是否真写入了该包的source信息,避免缓存误导
GitLab Personal access Token 怎么配进 Composer
HTTPS 拉取私有 GitLab 仓库时,Token 是最可控的认证方式。不能直接塞进 URL(有泄露风险),要用 Composer 的 auth.json。
- 在项目根目录创建
auth.json(或全局~/.composer/auth.json),内容为:{ "http-basic": { "gitlab.example.com": { "username": "oauth2", "password": "glpat-xxxxxx" } } } - 注意:
username固定填oauth2,password是 GitLab 生成的 Personal Access Token(需勾选read_repository) - Token 不要硬编码在
composer.json或环境变量中;CI 场景下建议用 secret 注入,并在构建前动态生成auth.json - GitHub 类似,但 host 是
github.com,username 是任意非空字符串(如token),password 是 GitHub Token(reposcope)
私有包更新后 composer update 不生效?
常见于开发阶段频繁改私有库又不发新 tag,结果 Composer 死守旧 commit —— 它默认按 dist(ZIP 包)安装,且会缓存。
- 先删
vendor/vendor-name/package-name和composer.lock中对应条目,再运行composer update vendor-name/package-name --with-dependencies - 确认
composer.json里该包的版本约束是否太死(如写死了"1.0.0"),临时改成"dev-main"或"dev-develop"再更新 - 加
--prefer-source强制走source(即 git clone),避免 dist 缓存干扰;上线环境则应禁用此选项 - GitLab/GitHub 的 webhook 如果没配自动更新镜像或刷新 Composer metadata,那
packagist.org就不会感知变更 —— 但私有vcs模式根本绕过 Packagist,所以这一步其实无关
私有仓库接入最难的不是配置,而是权限链路是否真正打通:Git 凭据 → 网络可达性 → Composer 解析逻辑 → 锁文件一致性。每层都可能静默失败。