composer.json是项目依赖声明文件,定义所需包及版本范围;composer.lock是自动生成的依赖快照,记录实际安装的精确版本。两者协同确保依赖一致性,建议均提交至版本控制。
composer.json 和 composer.lock 都是 Composer(PHP 的依赖管理工具)使用的核心文件,但它们的用途和生成方式有本质区别。
composer.json:项目依赖的声明文件
这个文件由开发者手动编写或通过命令生成,用于定义项目的元信息和所需依赖。它包含以下关键内容:
- 项目名称、描述、作者等基本信息
- required 依赖列表,指定需要安装的包及其版本约束(如 "^1.0" 或 ">=2.1")
- 开发依赖(require-dev),仅在开发环境使用
- 自动加载配置(autoload)
它的作用是告诉 Composer“我这个项目需要哪些包,版本大致是什么范围”。实际安装时,Composer 会根据这个文件解析出满足条件的最新兼容版本。
composer.lock:依赖解析结果的快照文件
这个文件由 Composer 自动生成并维护,记录了当前环境中所有依赖包的确切版本号(包括嵌套依赖)。它包含:
- 每个已安装包的完整名称、确切版本(如 "1.3.5")、对应的源码地址(dist 或 source)
- 依赖树结构,确保每次安装都一致
它的作用是锁定依赖状态,保证团队成员或生产环境安装的依赖与当前一致。只要有 composer.lock 文件,Composer 就不会重新计算版本,而是直接按锁文件安装。
两者协作流程
当你运行 composer install 时:
- 如果存在 composer.lock,Composer 按照其中记录的版本精确安装
- 如果没有 lock 文件,Composer 读取 composer.json,解析满足条件的最新版本,下载依赖,并生成新的 composer.lock
当你修改 composer.json 并执行 composer update 时,Composer 会重新计算依赖版本,更新 vendor 目录,并生成新的 composer.lock。
总结性区别
composer.json 是“需求说明书”,定义你想要什么;composer.lock 是“安装清单”,记录实际装了什么。建议将两个文件都提交到版本控制中,尤其是 lock 文件,这对保证环境一致性至关重要。
基本上就这些。
