如何在composer.json中使用环境变量？

答案：Composer不直接支持环境变量，但可通过脚本或配置文件间接实现。1. 使用GITHUB_TOKEN等环境变量配置私有仓库认证，通过shell导出变量并在CI中预处理替换；2. 在CI/CD中用envsubst等工具动态生成composer.json，从模板替换变量值；3. 将敏感信息移至auth.json，利用PHP脚本读取环境变量生成认证文件；4. 编写条件脚本根据APP_ENV等变量动态添加开发依赖。核心是分离静态配置与动态变量，确保安全性与灵活性。

在 composer.json 中直接使用环境变量并不被原生命令支持，因为 composer.json 是一个静态的 JSON 配置文件。但你可以通过一些技巧间接实现环境变量的注入，尤其是在处理私有包、动态仓库或自定义配置时。

1. 使用环境变量设置 Composer 认证信息

最常见的是用环境变量配置私有仓库的认证信息（如 GitHub、GitLab 或私有 Satis 服务器）。

你可以在 .env 文件中定义：

GITHUB_TOKEN=your_personal_access_token

然后在部署或本地运行 Composer 命令前，通过 shell 导入环境变量：

export GITHUB_TOKEN=your_personal_access_token
composer install

在 composer.json 中引用该 token：
{
    "repositories": [
        {
            "type": "vcs",
            "url": "https://github.com/your-company/private-repo.git"
        }
    ],
    "config": {
        "github-oauth": {
            "github.com": "${GITHUB_TOKEN}"
        }
    }
}

注意：Composer 本身不会自动解析 ${GITHUB_TOKEN}，但某些 CI 工具或脚本会在运行前替换这些占位符。更推荐的做法是使用 Composer 的全局配置或命令行传参。

2. 利用 CI/CD 脚本动态生成 composer.json
在持续集成环境中，可以用脚本先替换模板中的环境变量，再执行 Composer 命令。
例如，使用 envsubst 或 Node.js 脚本预处理 composer.json.tpl：
{
    "require": {
        "private/package": "${PRIVATE_PACKAGE_VERSION}"
    }
}

运行脚本前替换：

							

								
								

									睿拓企业网站系统1.2
									
睿拓智能网站系统-睿拓企业网站系统1.2免费版软件大小:6M运行环境：asp+access本版本是永州睿拓信息企业网站管理系统包括了企业网站常用的各种功能，带完整的后台管理系统，本程序无任何功能限制下载即可使用，具体功能如下。1.网站首页2.会员注册3.新闻文章模块4.产品图片展示模块5.人才招聘模块6.在线留言模块7.问卷调查模块8.联系我们模块9.在线QQ客服系统10.网站流量统计系统11.后
								
								下载 
							
						
export PRIVATE_PACKAGE_VERSION="dev-staging"
envsubst < composer.json.tpl > composer.json
composer install


3. 使用 Composer 的 auth.json 动态配置凭证
将敏感信息从 composer.json 移出，使用 auth.json 文件或环境变量注入。
创建 auth.json 模板并用环境变量填充：
{
    "http-basic": {
        "repo.example.com": {
            "username": "${COMPOSER_USERNAME}",
            "password": "${COMPOSER_PASSWORD}"
        }
    }
}

在 CI 中生成该文件：
php -r "echo json_encode([
    'http-basic' => [
        'repo.example.com' => [
            'username' => getenv('COMPOSER_USERNAME'),
            'password' => getenv('COMPOSER_PASSWORD')
        ]
    ]
]);" > auth.json

composer install --auth-file=auth.json


4. 自定义脚本处理动态依赖
如果需要根据环境加载不同依赖，可编写脚本修改 composer.json 再运行 install 或 update。
比如开发环境加调试工具，生产环境不加：
if [ "$APP_ENV" = "development" ]; then
    composer require --dev vendor/debug-tool
fi

这类操作适合 CI 流程，但需谨慎避免破坏锁文件一致性。

基本上就这些实用方式。Composer 不直接支持环境变量插值，但结合脚本和配置文件分离，可以安全灵活地实现动态配置。关键是把敏感信息和变动逻辑移出 composer.json，用外部机制注入。