composer update --lock 不仅更新哈希,而是重新生成整个 composer.lock 文件,包括版本、依赖树、URL 和哈希;它不升级包但可能因约束满足而改变实际版本。
composer update --lock 只更新 lock 文件哈希值吗?
不是。执行 composer update --lock 时,Composer 并不会“只更新哈希”,而是会重新解析 composer.json 中的约束(比如版本范围、平台配置、require-dev 等),然后**重新生成整个 composer.lock 文件**——包括所有包的版本、完整依赖树、下载 URL 和哈希值。它不升级包,但可能改变包的实际版本,只要仍满足 composer.json 中的约束。
什么情况下 composer update --lock 会改变已安装的包?
常见于以下场景:
-
composer.json中某个包写的是"monolog/monolog": "^2.0",之前锁的是2.9.1,而新版本2.10.0已发布且兼容,--lock可能将其更新为2.10.0 - 修改了
config.platform.php或platform.ext-xxx,导致某些包因平台兼容性变化而被替换为其他版本 - 添加/删除了
require-dev包,或更改了其版本约束,即使没运行install,--lock也会反映在 lock 文件中 - 切换了仓库源(如从 packagist.org 换成私有镜像),同一版本包的 dist URL 或哈希可能不同,lock 文件必然更新
如何真正只更新哈希、不改任何包版本?
Composer 本身没有“仅刷新哈希”的原生命令。但你可以用下面这个安全组合达成等效效果:
composer install --no-scripts --no-plugins
前提是:
-
composer.lock已存在且与当前composer.json兼容 - 你**没有改动过
composer.json的依赖声明**(即 require / require-dev 版本约束) - 你只是想让 lock 文件中的
content-hash和各包的dist.shasum与当前环境一致(例如 CI 构建后校验、PHP 版本变更后重算平台哈希)
此时 composer install 会读取 lock 文件并验证所有哈希;若本地文件缺失或哈希不匹配,它会重新下载并写入正确哈希——但不会改变任何包的版本号或结构。
为什么不能靠手动编辑 composer.lock?
因为 composer.lock 是一个强一致性文件:顶层 content-hash 是对 composer.json 内容(含注释、空格、换行)的 SHA256,而每个包的 dist.shasum 是对应 ZIP/TAR 包的校验值。手动修改任一哈希都会导致:
- 下次运行
composer install或update时触发全量重解析 - CI 流水线校验失败(如
composer validate --strict报错) - Git diff 显示大量无关变更,掩盖真实依赖变动
真正需要“只刷哈希”的时候,往往说明你已经绕过了 Composer 的标准流程——这时候该检查的是构建环境一致性,而不是硬改 lock 文件。
