composer validate 默认仅校验 composer.json 的 json 语法和顶层字段合法性,不检查包名、版本约束或依赖解析,需加 --strict 才启用额外合规性检查,如 license 必须为 spdx 标识符。
composer validate 报错但文件看起来没问题?先确认校验范围
默认情况下 composer validate 只检查 composer.json 的基本 JSON 语法和顶层字段合法性,比如是否拼错了 require 写成 requre,或把 autoload 放在了根对象外层。它**不验证包名是否存在、版本约束是否合法、依赖能否解析**——这些要等 composer install 或 composer update 才会暴露。
- 加
--strict参数才启用额外检查:比如禁止使用dev-master这类不稳定版本约束、强制要求description字段 - 如果改过
composer.lock,validate不管它;但composer install --dry-run会实际校验锁文件与 json 是否匹配 - CI 中建议用
composer validate --strict --no-check-publish:跳过对 Packagist 可发布性的检查(避免网络失败中断流程)
为什么 validate 通过了,install 却报 version conflict?
composer validate 根本不解析版本约束表达式,所以像 "^1.2.3 || ~2.0" 这种写法即使语法正确,也可能在 install 阶段因无法满足而失败。真正做版本求解的是 composer install 内部的依赖求解器。
- 常见陷阱:
"dev-develop"在 validate 里合法,但若远程仓库没这个分支,install 就卡住 - 平台配置如
config.platform.php不影响 validate,但会改变 install 时的版本选择结果 - 想提前发现冲突?运行
composer prohibits vendor/package:version或直接composer update --dry-run
validate 命令输出 “No license specified” 是警告还是错误?
默认是警告(exit code 0),不影响 CI 通过;但加上 --strict 后变成错误(exit code 1)。这不是语法问题,而是合规性提示。
- 开源项目通常必须声明 license,否则 Packagist 拒绝收录
- 值必须是 SPDX 标准标识符,比如
"MIT"、"Apache-2.0",不能写"see LICENSE file" - 私有包可忽略,但建议统一设为
"proprietary"避免工具链误判
CI 中 validate 失败却找不到具体哪行出错?
Composer 默认只报错位置(如 ./composer.json:15:23),但不显示上下文。JSON 缺少逗号、多了一个逗号、引号没闭合——这些都归为“invalid JSON”,需要人工定位。
- 先用
php -l composer.json快速检测纯语法错误(PHP 自带 JSON 解析器更敏感) - 用
jq -n -f composer.json >/dev/null(需安装 jq)获取更清晰的错误行号 - VS Code 装 “JSON Tools” 插件,右键 “Validate JSON” 可高亮错误字符
composer validate 的 exit code,它太轻量了。真正容易漏掉的是平台配置和版本约束的隐式冲突,得靠 --dry-run 搭配具体命令去触发。 
