auth.json 应放在 Composer 全局配置目录以确保安全,避免凭据泄露。具体路径为 Linux/macOS 的 /home/用户名/.config/composer/auth.json 或 Windows 的 C:\Users\用户名\AppData\Roaming\Composer\auth.json,该位置由 Composer 自动识别且不随项目代码提交至版本控制。不推荐将其置于项目根目录,以防被意外上传至 Git 仓库,尤其在开源或共享项目中风险更高,还可能被 CI/CD 日志或其他工具暴露。应使用 composer config --global 命令自动写入认证信息,如 http-basic 或 github-oauth 配置,确保正确生成于全局目录。同时需设置文件权限为 600(chmod 600),限制仅当前用户可读写,防止其他用户访问,从而提升安全性。综上,通过全局配置管理 auth.json 是最安全、规范的做法。
Composer 的 auth.json 文件用于存储私有包仓库(如私有 Packagist、GitHub、GitLab 等)的认证信息,比如 API token 或用户名密码。由于包含敏感凭证,必须妥善放置以确保安全。
auth.json 应该放在哪里?
最安全的位置是 Composer 的全局配置目录中,而不是项目根目录。
具体路径取决于操作系统:
- Linux / macOS: /home/用户名/.config/composer/auth.json
- Windows: C:\Users\用户名\AppData\Roaming\Composer\auth.json
这个目录由 Composer 自动识别,且通常不在项目代码中,避免意外提交到版本控制系统(如 Git)。
为什么不推荐放在项目根目录?
如果将 auth.json 放在项目根目录,容易被误提交到 Git 仓库,导致凭据泄露。
即使加了 .gitignore,团队成员仍可能疏忽。特别是当项目开源或共享时,风险更高。
另外,项目中的 auth.json 可能会被其他工具扫描或暴露在 CI/CD 日志中。
如何正确配置全局 auth.json?
使用以下命令自动写入全局 auth.json,避免手动创建:
composer config --global http-basic.repo.example.com username token
或添加 GitHub token:
composer config --global github-oauth.github.com YOUR-TOKEN-HERE
这些命令会自动将认证信息写入全局配置目录下的 auth.json,无需手动管理文件位置。
权限设置也很关键
确保 auth.json 文件的文件权限为仅当前用户可读写。
在 Linux/macOS 上执行:
chmod 600 ~/.config/composer/auth.json
这样其他用户无法读取该文件,提升本地安全性。
基本上就这些。把 auth.json 放在全局配置目录,并通过 composer config --global 管理,是最安全、最规范的做法。
