正确做法是用gitlab ci masked变量composer_auth_json存储转义安全的json字符串,通过echo生成auth.json文件,并配合--auth-file=auth.json使用;需严格校验域名一致性、json格式及证书配置。
GitLab CI里怎么安全传auth.json给Composer?
不能把私有包令牌硬编码进auth.json提交到仓库,也不能直接用CI_JOB_TOKEN当Bearer token塞进composer config——Composer不认这个格式。正确做法是让GitLab CI在运行时动态生成auth.json,内容从masked变量注入。
-
CI_REGISTRY_USER和CI_REGISTRY_PASSWORD是GitLab内置变量,但只对GitLab Container Registry有效,对私有Packagist或自建Satis不适用 - 必须新建一个masked变量,比如叫
COMPOSER_AUTH_JSON,值为合法JSON字符串:{"http-basic":{"your-packagist.example.com":{"username":"token","password":"abc123..."}}} - 在
.gitlab-ci.yml里用echo "$COMPOSER_AUTH_JSON" > auth.json生成文件,再composer config --auth --global github-oauth.github.com ""这类命令会覆盖它,要避免
为什么composer config --auth在CI里容易失效?
因为--auth写入的是全局配置(~/.composer/auth.json),而CI runner通常是干净容器,每次启动都重置;但更关键的是,如果之前执行过composer install且没指定--no-interaction,Composer可能卡住等输入,导致整个job挂起。
- 始终加
--no-interaction和--prefer-dist,避免交互和源码克隆触发认证弹窗 - 不要用
composer config --auth --global去设HTTP Basic,它生成的结构跟手动写的auth.json不完全一致,某些私有仓库会拒绝 - 优先走文件方式:
composer install --auth-file=auth.json,比改全局配置更可控、更易调试
COMPOSER_AUTH_JSON变量怎么写才不被GitLab截断或解析错?
GitLab对masked变量有严格限制:只允许ASCII字符,且不能含空格、换行、双引号未转义——但JSON必须用双引号。稍不注意就会导致auth.json语法错误,Composer报file_get_contents(): failed to open stream: No such file or directory(其实是文件存在但JSON解析失败,Composer静默忽略)。
- 在GitLab UI里填变量值时,用单引号包裹整个JSON,内部双引号不转义:
'{"http-basic":{"p.example.com":{"username":"token","password":"xYz789"}}}' - 别用
jq或脚本在线生成——CI环境不一定装了jq,纯echo最稳 - 加一行验证:
cat auth.json | php -r "json_decode(file_get_contents('php://stdin')) or die('invalid json');",CI失败时立刻暴露问题
私有包域名配错会导致Composer静默跳过认证
Composer只对repositories里声明的域名做HTTP Basic匹配。比如你在composer.json里写的是"url": "https://packagist.internal/api",但auth.json里配的是"internal.packagist.com",Composer根本不会发Authorization头,还假装成功安装。
- 检查
composer.json中每个私有repository的url字段,提取根域名(去掉路径和协议),和auth.json里的key严格一致 - 用
composer diagnose能发现部分配置问题,但它不校验auth域名匹配,得靠composer install -v看详细日志里有没有Reading ... from https://...后面是否带Authorization:头 - 如果私有仓库用了自签名证书,还得加
composer config --global disable-tls false并挂载CA证书,否则连连接都建立不了
echo,而是域名大小写、JSON引号、CI变量mask规则这三处,差一点就静默失败。 
