通过配置Git凭证或Composer的auth.json文件可实现私有仓库认证。使用git config设置credential.helper存储Git凭证,或在auth.json中配置http-basic、github-oauth等认证信息,CI/CD中推荐用COMPOSER_AUTH环境变量注入令牌,优先使用令牌提升安全性。
Composer 使用 Git 或 HTTP 下载包时,如果遇到私有仓库或需要认证的源,可以通过配置全局凭证来避免重复输入账号密码。关键是通过 Git 配置或 Composer 的 auth.json 文件设置认证信息。
使用 Git 凭证存储(适用于 Git 方式)
如果 Composer 通过 Git 克隆仓库(如 GitHub、GitLab),可以配置 Git 自动保存凭证:
- 启用凭证存储:运行 git config --global credential.helper store,之后第一次输入用户名密码后会保存到磁盘
- 使用内存缓存:用 git config --global credential.helper cache(默认缓存15分钟)
- macOS 可使用钥匙链:git config --global credential.helper osxkeychain
- Windows 推荐使用 Git Credential Manager
配置后,Composer 调用 Git 操作时将自动使用这些凭证。
配置 Composer 的 auth.json(适用于 HTTP/HTTPS 和私有 Packagist)
对于通过 HTTP 认证访问私有包仓库(如 Satis、私有 Packagist),可在 Composer 的全局配置中设置:
- 全局 auth.json 路径通常为:~/.composer/auth.json(Linux/macOS)或 C:\Users\用户名\AppData\Roaming\Composer\auth.json(Windows)
- 手动创建该文件并填入认证信息,例如:
这样 Composer 在请求对应域名时会自动带上认证头。
使用环境变量(推荐用于 CI/CD)
在自动化环境中,建议用环境变量避免明文写密码:
- 设置环境变量如 COMPOSER_AUTH='{"http-basic": {"example.com": {"username": "foo", "password": "bar"}}}'
- Composer 会自动读取该变量并合并到认证配置中
基本上就这些。根据你使用的协议选择合适的方式:Git 操作优先配置 Git 凭证,HTTP 认证则用 auth.json 或环境变量。安全起见,令牌比密码更推荐。
