要屏蔽 packagist.org,必须在项目级 composer.json 顶层设置 "packagist": false,再手动添加所需仓库;仅修改 repo.packagist 或在 repositories 中重复添加 packagist.org 均无效。
怎么让 Composer 忽略某个配置的仓库(比如 packagist.org)
Composer 不支持“禁用镜像源”这种粗暴操作,它只认 repositories 列表里的仓库顺序和类型。所谓“禁用”,本质是**不让它出现在最终生效的仓库列表里**——要么删掉,要么用 packagist = false 关闭默认源,再手动补上你需要的其他源。
常见错误现象:composer install 仍尝试访问 packagist.org,哪怕你加了国内镜像;或者执行时抛出 Could not fetch packages from packagist.org,但你根本不想连它。
- 如果只是想换镜像,别动
repositories,直接改composer config repo.packagist composer https://mirrors.aliyun.com/composer/ - 如果真要屏蔽 packagist.org,必须在
composer.json顶层加"packagist": false(注意不是"packagist.org") - 关闭后,所有包都得靠你显式声明的仓库提供,否则会报
Could not find package xxx
为什么 repositories 里写 {"type": "composer", "url": "https://packagist.org"} 没用
因为 Composer 把 packagist.org 当作“默认内置仓库”,不是普通 repositories 条目。你在 repositories 数组里重复加一条,它不会覆盖或禁用内置行为,反而可能引发冲突或被忽略。
使用场景:你想只从私有 GitLab 仓库拉包,完全不碰任何公共源。
- 正确做法:设
"packagist": false,再把私有源加进repositories - 错误写法:
{"type": "composer", "url": "https://packagist.org"}或{"packagist.org": false}—— 这两种都不生效 - 注意
packagist是关键字,大小写敏感,不能拼错
composer config --global repo.packagist 能否禁用
不能。这个命令只能设置或替换 packagist 的 URL(比如指向镜像),但它本身开启状态无法通过 config 关掉。全局配置里删掉这行也没用,因为默认行为就是启用。
参数差异:--global 改的是 ~/.composer/config.json,而 "packagist": false 必须写在项目级 composer.json 顶层,作用域不同。
- 执行
composer config --global --unset repo.packagist只是删配置项,不等于禁用 - 执行
composer config --global repo.packagist ""会导致后续所有请求失败,不是禁用而是破坏 - 真正起效的只有项目根目录下
composer.json中的"packagist": false
禁用后找不到包?检查这几个地方
一旦设了 "packagist": false,Composer 就彻底“失明”于所有未显式声明的仓库。很多坑就出在依赖链底层——比如你依赖的 A 包又依赖 B 包,而 B 包只在 packagist 上有,这时安装直接中断。
- 运行
composer show -s看当前生效的仓库列表,确认 packagist 是否已消失 - 用
composer depends vendor/package查依赖树,定位哪个包悄悄引入了外部源 - 私有包若用
vcs类型仓库,确保url可访问且含composer.json - 如果用了
path仓库,注意路径必须是绝对路径或相对于composer.json的相对路径
require 看似干净,背后可能拖着三层 packagist-only 的依赖,等你上线构建才爆出来。 
