使用 composer install --no-scripts 可跳过所有脚本(含插件钩子),确保离线部署安全;它不影响 autoload 文件加载,但需提前生成好 vendor/autoload.php 和预填充缓存目录。
composer install 时如何跳过所有脚本执行?
离线环境下,composer install 默认仍会尝试运行 post-install-cmd、pre-autoload-dump 等脚本,一旦脚本里调用了外部命令(比如 npm install 或 php artisan optimize),就会失败或卡住。
直接加 --no-scripts 参数即可跳过全部脚本,包括插件注册的钩子——Composer 自身的脚本机制和大多数插件(如 hirak/prestissimo、symfony/flex)都依赖这个开关来判断是否该执行。
-
composer install --no-scripts是离线部署最安全的第一步 - 如果已写死在
composer.json的scripts里(比如"post-install-cmd": "php foo.php"),--no-scripts同样生效 - 注意:这不会跳过 autoloader 生成,只是不触发脚本;自动加载逻辑本身仍正常工作
为什么 --no-plugins 不能只关掉部分插件?
--no-plugins 是全局开关,不是白名单机制。它会彻底禁用所有插件(包括 composer-plugin-api 实现的扩展),哪怕你只想跳过某个网络相关插件(比如 composer-asset-plugin)也不行。
离线时最常踩的坑是:以为加了 --no-plugins 就能绕过插件里的网络请求,结果发现连本地 PluginInterface::activate() 都没被调用——因为整个插件系统被 Composer 主流程直接跳过了。
- 插件的
activate()方法在--no-plugins下完全不执行,所以别指望它做任何初始化 - 某些插件(如
symfony/flex)会在activate()里修改composer.json或写临时文件,禁用后这些副作用也不会发生 - 如果你依赖某插件的本地能力(比如自定义 installer),就不能用
--no-plugins,得改用COMPOSER_PLUGIN_DISABLE=1环境变量 + 手动排除特定插件
离线安装时 vendor/autoload.php 仍能用吗?
能。只要 vendor/composer/autoload_*.php 和 vendor/autoload.php 已存在(即之前成功生成过),--no-scripts 和 --no-plugins 不影响自动加载器的加载和使用。
真正容易出问题的是:某些项目把 autoloader 生成逻辑写进了脚本(比如 "post-install-cmd": "composer dump-autoload"),而你又没提前生成好——这时即使加了 --no-scripts,vendor/autoload.php 也可能是旧的或缺失的。
- 推荐做法:在线环境先跑一次
composer install --no-scripts --no-plugins,确保 autoload 文件就位,再把整个vendor/打包带走 - 不要依赖离线时靠
composer dump-autoload补救——它本身也是个脚本,会被--no-scripts拦住 -
vendor/composer/autoload_classmap.php等文件是静态生成的,不联网、不执行 PHP 代码,纯离线可用
COMPOSER_CACHE_DIR 和 composer.lock 的离线关键作用
离线模式下,composer install 完全不走网络,唯一依赖就是本地 composer.lock 和缓存目录里的包 ZIP。如果缓存缺失或 lock 文件过期,--no-scripts 也救不了你。
COMPOSER_CACHE_DIR 必须指向一个已预填充好的缓存目录(比如从内网镜像同步过来的),否则 Composer 会报错:Failed to extract vendor/package: unable to find archive。
-
composer.lock必须和composer.json严格匹配,且包含完整content-hash;任意字段改动都会导致 install 失败 - 缓存目录里每个包对应一个
vendor/package/1.2.3/xxx.zip,路径和哈希必须与 lock 文件中dist.shasum一致 - 用
composer clear-cache前确认离线环境有备用缓存,否则重装时会直接中断
--no-scripts 和 --no-plugins 是开关,不是补丁。它们不修复缺失的缓存或损坏的 lock 文件,只控制执行流——这点很容易被忽略。 
