Composer 从 GitHub 安装私有或非 Packagist 包需配置 repositories 为 vcs 类型并指定完整 HTTPS URL;私有库须配 GitHub Token 或 SSH;版本依赖 Git tag(如 v1.2.3),需确保 tag 存在且合规,并清除缓存验证。
怎么让 Composer 从 GitHub 安装私有或非 Packagist 包
Composer 默认只认 Packagist,想直接从 GitHub 拉代码,得手动告诉它“这个包不在官方源里,去那里找”。核心不是改 composer.json 的 require,而是补全 repositories 配置,否则会报 Could not find package xxx at version yyy。
常见错误是只加了 require,没配 repositories,或者配了但类型写成 vcs 却漏掉 url 字段。
-
type必须是vcs(不是git或package) -
url必须是完整 HTTPS Git 地址,比如https://github.com/username/repo-name,不能带.git后缀(虽然有时能凑合,但 Composer 8+ 会警告) - 如果 GitHub 仓库是私有的,需要提前配置好 SSH key 或 GitHub token(见下一条)
GitHub 私有仓库安装失败:401 或 404 错误怎么解
报 Failed to download username/repo: Failed to execute git clone --mirror ... 或 401 Unauthorized,基本就是认证没过。Composer 走的是 Git 协议或 HTTPS,不走你浏览器的 GitHub 登录态。
两种可靠方式:
- 用 GitHub Personal Access Token:生成一个带
repo权限的 token,在auth.json里配好,路径是项目根目录下的auth.json或全局~/.composer/auth.json,内容为:{"github-oauth": {"github.com": "ghp_abc123..."}} - 用 SSH URL:把
repositories.url改成git@github.com:username/repo-name.git,并确保本地ssh -T git@github.com能通 - 别用 HTTPS + 用户名密码:GitHub 已禁用密码登录,会直接 403
为什么 dev-main 能装,但指定 v1.2.3 就失败
GitHub 仓库没打 tag,或者 tag 名字不合规(比如叫 1.2.3 而不是 v1.2.3),Composer 就识别不了版本。它依赖 Git tag 自动映射到语义化版本,不是看 composer.json 里的 version 字段。
解决方法很直接:
- 进 GitHub 仓库 →
Code→Tags→ 点New tag,名字填v1.2.3(前面带v),目标选main或对应分支 - 确认 tag 对应的 commit 里,
composer.json的name和version字段存在且匹配(version可省略,tag 名优先) - 运行
composer clear-cache,再composer require vendor/name:v1.2.3
用 vcs 仓库时,minimum-stability 和 prefer-stable 怎么设
GitHub 上的代码默认算 dev 稳定性,哪怕打了 v1.2.3 tag。如果 composer.json 里没调低 minimum-stability,就会跳过所有 tag,只认 dev-main 这类分支名。
实操上建议这样配:
- 在项目根
composer.json里显式加:"minimum-stability": "stable",<br>"prefer-stable": true
(除非你真要开发版) - 如果某个包必须用 dev 分支,就单独在
require里写明:"vendor/name": "dev-main",而不是依赖全局设置 - 注意:改完
minimum-stability后,所有包都受约束,可能意外降级其他依赖,别一配了事
最常被忽略的是缓存和 tag 同步——改完配置、打了 tag、配了 token,还卡住?先 composer clear-cache,再 git ls-remote --tags https://github.com/xxx/yyy 看 tag 真的推上去了没。
