Composer 1.x 升级到 2.x 是必须操作,因 Laravel 9+、Symfony 6+ 等新包已彻底弃用 1.x 兼容性,否则 install/update 直接报错;需确认实际运行版本、用官方脚本覆盖安装,并注意依赖解析更严格带来的常见报错。
Composer 1.x 升级到 2.x 不是“可选优化”,而是必须操作——很多新包(如 Laravel 9+、Symfony 6+)已彻底放弃对 1.x 的兼容,composer install 或 composer update 会直接报错退出。
确认当前 Composer 版本并检查是否真在用 1.x
别只看 composer --version 输出里带不带 2.,有些系统可能装了两个版本(比如通过 apt 装的旧版 + 手动下载的新版),实际执行的却是旧版。运行:
which composer
再配合:
composer --version
如果输出类似 Composer version 1.10.22 2021-04-08 15:46:45,说明确实在用 1.x。注意:Composer 2.0.0 发布于 2020 年底,所有 1.x 分支早在 2021 年中就停止维护。
用官方 installer 升级(推荐,覆盖式安全)
Composer 官方明确建议用 install 脚本重装,而不是手动替换二进制文件——它会自动处理权限、路径和全局配置迁移。执行:
php -r "copy('https://getcomposer.org/installer', 'composer-setup.php');"
php -r "if (hash_file('sha384', 'composer-setup.php') === '55ce33d7678c5a611085589f1f3ddf8b3c52d662cd01d4ba75c0ee0459970c2200a51f171d06ac636347587b207ebc21') { echo 'Installer verified'; } else { echo 'Installer corrupt'; unlink('composer-setup.php'); } echo PHP_EOL;"
sudo php composer-setup.php --install-dir=/usr/local/bin --filename=composer
php -r "unlink('composer-setup.php');"
关键点:
-
--install-dir必须指向你which composer返回的目录(常见为/usr/local/bin或~/bin),否则旧版仍被调用 - 升级后运行
composer --version应显示Composer version 2.x.x - 原有
auth.json、插件、全局配置(如~/.composer/下内容)全部保留,无需手动迁移
升级后常见报错及应对
Composer 2.x 默认启用更严格的依赖解析策略,部分旧项目会突然报错,典型现象包括:
-
Your requirements could not be resolved to an installable set of packages.—— 不是 bug,是 2.x 拒绝模糊/冲突的约束(如同时 require"monolog/monolog": "^1.0 || ^2.0"但锁文件里是 1.x)。解决:删掉composer.lock,再composer install -
Package ... has a PHP requirement incompatible with your PHP version—— 2.x 对platform配置更敏感。检查composer.json中是否有"config": {"platform": {"php": "7.2.5"}},若 PHP 实际是 8.1,需更新该值 - 某些私有仓库或自定义 repo 报
401 Unauthorized—— 2.x 默认禁用 HTTP 基础认证的自动回退。确保auth.json格式正确,且包含完整域名(如"repo.example.com"而非"example.com")
升级本身很快,但真正耗时的是验证依赖树是否稳定——尤其在 CI 环境或老旧项目中,composer update 可能触发大量次要版本升级,务必先在 dev 环境跑通测试,再同步上线。Composer 2.x 的解析速度和内存占用确实更好,但这不是升级理由;不能继续安装新包,才是硬门槛。
