常见原因是Composer默认只查packagist.org,私有Git仓库需手动在composer.json的repositories字段添加type为vcs的仓库配置,并确保URL正确、版本格式合规、认证凭据安全配置。
composer install 时提示 package not found,但包确实存在
常见原因是 Composer 默认只查 packagist.org,而你要装的包托管在私有 Git 仓库或 GitHub/GitLab 的非标准路径。它根本没去那个 URL 找,自然报错。
- 确认包是否在
packagist.org公开索引里:打开浏览器访问https://packagist.org/packages/{vendor}/{package},404 就说明不在官方源 - 如果包地址是类似
https://gitlab.example.com/mygroup/mypkg这种私有地址,必须手动加仓库,否则composer require会直接失败 - 别指望用
composer require git+https://...临时凑合——它只对单次安装生效,且不写入composer.json,下次install还会丢
如何正确添加私有 Git 仓库到 composer.json
核心是往 composer.json 的 repositories 字段里加一条类型为 vcs 的记录,不是改配置文件也不是跑命令行开关。
-
repositories必须是数组,即使只加一个仓库也要写成[{...}] - 每个仓库对象至少包含
type: "vcs"和url(值是 Git 地址,支持https://、git@、ssh://) - URL 必须指向仓库根目录,不能带
/tree/main或/blob/...这类路径后缀 - 示例:
"repositories": [ { "type": "vcs", "url": "https://github.com/myorg/my-private-package" } ]
require 时指定版本为什么还是找不到?
因为 Composer 对 Git 仓库的版本识别依赖分支名、tag 名或 dev- 前缀,不是你写什么它就认什么。
- 如果远程仓库只有
main分支,没有打任何 tag,那合法版本只能写"dev-main",写"1.0"或"*"都会失败 - 如果打了
v1.2.3tag,就可以写"^1.2.3"或"1.2.3";但注意 tag 名必须符合语义化版本格式,release-1.2这种不被识别为版本 - 私有包默认不启用
packagist自动发现,所以即使你写了"myorg/my-private-package": "^1.0",Composer 也不会主动去 GitHub 拉 metadata,必须先通过repositories明确告诉它“这个地址归我管”
HTTPS 私有仓库需要认证怎么办
Composer 不会自动读取系统 git 凭据或 ~/.netrc,得靠 auth.json 或环境变量透传凭证。
- 在项目根目录建
auth.json,内容:{ "http-basic": { "github.com": { "username": "token", "password": "ghp_abc123..." } } } - GitLab 或自建 Gitea 等,把
github.com换成对应域名(如gitlab.example.com) - 别把 token 写进
composer.json或命令行参数——会被提交、日志记录、泄露 - 如果用 SSH 地址(
git@gitlab.example.com:group/pkg.git),确保本地ssh-agent已加载对应密钥,且~/.ssh/config正确配置了 host 别名
repositories 放错位置(比如塞进了 config 而不是顶层字段)——这些细节一错,整个流程就卡在“找不到包”上,而且错误信息几乎不提示具体哪步错了。 
