GitHub私有库认证必须使用Personal Access Token(PAT),而非SSH密钥;PHP需通过HTTPS+PAT方式调用git clone,且PAT须勾选repo权限、通过环境变量传入并用escapeshellarg()安全拼接URL。
GitHub私有库认证必须用 Personal Access Token,不是 SSH 密钥
PHP 本身不直接“读取”或“使用” SSH 私钥去拉 GitHub 私有库(比如 git clone git@github.com:user/repo.git),因为 PHP 进程通常没权限加载用户 ssh-agent 或读取 ~/.ssh/id_rsa。实际能走通的路径只有 HTTPS + Personal Access Token(PAT)——这是 GitHub 官方唯一支持的、可在脚本/服务端安全使用的认证方式。
常见错误是把本地 Git 配置里的 SSH 密钥直接塞进 PHP 的 exec("git clone ..."),结果报错:Permission denied (publickey) 或 fatal: Could not read from remote repository。
- GitHub 已弃用密码认证,
git clone https://user:password@github.com/...会失败 - PAT 必须勾选
repo权限(私有库需要repo:status、repo_deployment等子项也建议勾上) - 不要把 PAT 写死在代码里,务必通过环境变量传入,例如
$_ENV['GITHUB_TOKEN']
PHP 执行 git clone 时注入 token 的三种写法
核心原理:把 token 插入 HTTPS URL 中,让 Git 命令自身完成认证。URL 格式为 https://。注意 token 是明文拼接,所以必须确保命令不被日志或 ps aux 泄露。
推荐用 escapeshellarg() 包裹 token 和路径,避免 shell 注入:
立即学习“PHP免费学习笔记(深入)”;
$token = $_ENV['GITHUB_TOKEN'] ?? '';
$repo = 'https://' . escapeshellarg($token) . '@github.com/your-org/private-repo.git';
$dest = '/tmp/my-repo';
exec('git clone ' . escapeshellarg($repo) . ' ' . escapeshellarg($dest) . ' 2>&1', $output, $returnCode);
if ($returnCode !== 0) {
error_log('Git clone failed: ' . implode("\n", $output));
}
- 不能用
shell_exec()直接拼字符串,比如"git clone https://{$token}@..."—— token 里若含/、+、=会破坏 URL - 如果 token 含特殊字符(如
+),escapeshellarg()能保底,但更稳妥的是用rawurlencode()先编码 token 再拼 URL - PHP-FPM 或 CLI 模式下,确认执行用户有写入
$dest目录的权限,否则报Permission denied
用 Composer 加载私有 GitHub 库要配 repositories + auth.json
如果你的 PHP 项目用 Composer 管理依赖,且要 require 一个私有 GitHub repo,不能只改 composer.json 的 repositories,还必须配 auth.json 提供 token。
项目根目录下创建 auth.json(权限设为 600):
{
"github-oauth": {
"github.com": "ghp_xxx..."
}
}
再在 composer.json 中声明仓库:
"repositories": [
{
"type": "vcs",
"url": "https://github.com/your-org/private-repo"
}
]
-
auth.json必须放在 Composer 能读到的位置:项目根目录、COMPOSER_HOME目录(如~/.composer/auth.json),优先级按此顺序 - token 类型必须是
classic(不是 fine-grained),且至少含reposcope - 如果用 CI(如 GitHub Actions),可用
${{ secrets.GITHUB_TOKEN }}注入,但注意该 token 默认只对当前仓库有效,跨组织私有库需另配 PAT
curl 或 Guzzle 请求 GitHub API 时怎么带 token
很多场景不是拉代码,而是调 GitHub REST API(比如获取 release、触发 workflow)。这时 token 放在 HTTP Header,不是 URL 里:
$ch = curl_init('https://api.github.com/repos/owner/repo/releases');
curl_setopt($ch, CURLOPT_HTTPHEADER, [
'Authorization: Bearer ' . $_ENV['GITHUB_TOKEN'],
'Accept: application/vnd.github+json',
'X-GitHub-Api-Version: 2022-11-28'
]);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$response = curl_exec($ch);
- Header 中的 token 前缀必须是
Bearer(不是token或Basic),否则返回401 Unauthorized - API 调用频次受 token 限制:未认证请求限速 60 次/小时,带 token 可达 5000 次/小时
- 如果用 Guzzle,对应写法是
['headers' => ['Authorization' => 'Bearer ' . $token]]
delete_repo)、auth.json 文件权限是否太宽松、以及 CI 环境中 token 是否被正确映射为环境变量而非硬编码。这些地方一漏,错误信息往往很模糊,只能靠日志逐层验证。 
