答案:Composer通过auth.json配置私有仓库认证,支持HTTP Basic和API Token方式,需在composer.json中声明仓库地址。
Composer 支持从需要认证的私有仓库安装包,比如私有的 Packagist、GitHub、GitLab 或自建的 Composer 仓库。要让 Composer 能访问这些受保护的源,必须正确配置认证信息,常用方式包括 token 和用户名密码。
配置私有仓库认证信息
Composer 使用 auth.json 文件来存储认证凭据,该文件通常放在项目根目录或 Composer 的全局配置目录中(如:~/.config/composer/auth.json)。以下是具体配置方法:
1. 配置 HTTP Basic 认证(用户名 + 密码)
如果私有仓库使用 HTTP Basic 认证,可以在 auth.json 中添加如下内容:
{
"http-basic": {
"your-private-repo.com": {
"username": "your-username",
"password": "your-password"
}
}
}
其中 your-private-repo.com 是你的私有仓库域名。Composer 在请求该域名时会自动附加 Authorization 头。
2. 配置 API Token(如 GitHub、GitLab)
对于 GitHub、GitLab 等平台,推荐使用个人访问令牌(Personal Access Token):
{
"http-basic": {
"gitlab.com": {
"username": "oauth2",
"password": "your-gitlab-token"
}
}
}
或者用于 GitHub:
{
"github-oauth": {
"github.com": "your-github-token"
}
}
GitHub 推荐使用 github-oauth 字段,而不是 http-basic。Token 可在 GitHub Settings → Developer settings → Personal access tokens 中生成。
3. 在 composer.json 中声明私有仓库
确保你的 composer.json 正确配置了仓库地址:
{
"repositories": [
{
"type": "composer",
"url": "https://your-private-repo.com"
}
],
"require": {
"your-vendor/your-package": "^1.0"
}
}
这样 Composer 才知道从哪里拉取包,并结合 auth.json 中的凭证进行认证。
安全建议
- 不要将 auth.json 提交到版本控制(如 Git),应将其加入 .gitignore。
- 使用最小权限的 token,避免使用长期有效的高权限账户密码。
- 定期轮换 token,特别是在团队环境中。
基本上就这些。只要配置好 auth.json 并在 composer.json 中指定私有源,Composer 就能顺利拉取受保护的包。不复杂但容易忽略的是认证方式的选择和 token 的权限设置。
