composer config 命令仅修改 composer.json 或全局 config 区块中的内置支持项(如 cache-dir、github-oauth),minimum-stability、platform 等顶层字段须手动编辑 JSON 才生效。
Composer config 命令不是“改配置的万能开关”,它只修改 composer.json 或全局 config 区块,且多数配置项不能靠它直接生效(比如 platform、minimum-stability 必须写进 JSON 才被读取)。
哪些 config 项能用命令行直接设?
只有 Composer 内置支持的 config 键才真正响应 composer config 命令。常见可设项包括:
-
cache-dir、data-dir、home:路径类,设了立刻影响后续命令行为 -
github-oauth:存 token,等价于手动往auth.json写 -
secure-http、preferred-install、sort-packages:布尔或字符串值,会写入当前项目的composer.json的config下 -
process-timeout、fxp-asset(已弃用)等旧配置也属此类
注意:composer config minimum-stability dev 看似成功,但实际不生效——因为 minimum-stability 不在 config 区块里,它必须是 composer.json 的顶层字段。
命令语法和作用域辨析
composer config 默认操作当前项目 composer.json;加 --global 才改全局配置(即 ~/.composer/config.json)。
- 设值:
composer config github-oauth.github.com abc123(注意 key 和 value 是两个独立参数) - 删值:
composer config --unset github-oauth.github.com - 查值:
composer config github-oauth.github.com或composer config --list - 设路径类配置时,若值含空格或特殊字符,需加引号:
composer config cache-dir "/path/with space"
错误示范:composer config repositories.my-pack '{"type":"package","package":{...}}' —— JSON 字符串不会被解析,只会原样存为字符串,导致后续 install 报错 Invalid repository type。
为什么有些 config 设了没反应?
根本原因在于 Composer 配置分三层,而 config 命令只管其中一层:
- 顶层字段(如
name、require、minimum-stability)→ 必须手动编辑composer.json -
config对象下的字段(如sort-packages)→composer config可设,且会被install/update读取 - 运行时环境变量(如
COMPOSER_HOME)→ 优先级高于 JSON,config命令完全不碰它
典型陷阱:composer config platform.php "8.1.0" 看似设了,但 platform 实际属于顶层字段,该命令只是把它塞进了 config 块,Composer 完全忽略——正确做法是手动加 "platform": {"php": "8.1.0"} 到 composer.json 根层级。
安全与协作场景下的限制
composer config 不处理敏感字段的加密或权限控制:
-
github-oauth明文存进auth.json,切勿提交到 Git;用--global设更安全(因~/.composer/auth.json默认 600 权限) -
http-basic同理,设完检查auth.json文件权限 - 团队项目中,避免用
composer config sort-packages true自动格式化——不同人本地 PHP 版本可能导致composer.json被意外重排,引发无意义 diff
真正需要批量改配置时,别依赖 config 命令拼接,直接用 jq 或脚本操作 JSON 更可控;composer config 最适合交互式快速调整非关键路径或开关类配置。
