全局切换 Composer 到阿里云镜像只需运行 composer config -g repo.packagist composer https://mirrors.aliyun.com/composer/,注意权限问题并验证配置是否生效。
怎么全局切换 Composer 到阿里云镜像
阿里云镜像和淘宝镜像现在是同一个源(https://mirrors.aliyun.com/composer/),官方已合并,所以“切到阿里”和“切到淘宝”本质是一回事。全局设置只需一条命令,但要注意用户权限和配置层级。
- 运行
composer config -g repo.packagist composer https://mirrors.aliyun.com/composer/,这是最直接有效的方式 - 别用
composer config -g repos.packagist(少个点)——会写错 key,导致镜像不生效 - 如果提示
Permission denied,说明当前用户没权限写入全局配置文件(通常是~/.composer/config.json),换用sudo不推荐;更安全的做法是先ls -la ~/.composer看属主,再用对应用户执行 - 执行后可运行
composer config -g repo.packagist验证是否写入成功,输出应为https://mirrors.aliyun.com/composer/
为什么 composer create-project 还走官网源
即使设了全局镜像,create-project 仍可能回退到 packagist.org,这不是 bug,而是因为该命令默认会读取目标项目的 composer.json 中的 repositories 配置,并优先使用它。
- 检查目标项目(比如
laravel/laravel)的composer.json是否硬编码了"packagist.org": false或自定义repositories - 临时绕过:加
--repository-url=https://mirrors.aliyun.com/composer/参数,例如composer create-project laravel/laravel --repository-url=https://mirrors.aliyun.com/composer/ - 更彻底的办法:在全局配置里用
composer config -g repos.packagist.type composer+composer config -g repos.packagist.url https://mirrors.aliyun.com/composer/,注意这里是repos.packagist(复数 + 点),不是repo.packagist
项目级覆盖比全局配置更可靠
团队协作或 CI 场景下,依赖全局配置容易出问题——别人没配、CI 容器没配、Docker 构建时环境干净。项目根目录下的 composer.json 才是唯一可控的入口。
- 在项目
composer.json里加一段:"repositories": [ { "type": "composer", "url": "https://mirrors.aliyun.com/composer/" } ] - 必须确保这段在顶层(和
require同级),不能塞进config或scripts里 - 加完记得删掉
vendor和composer.lock,再跑composer install,否则旧 lock 文件仍指向原源 - 这个配置对
create-project无效,但它能保证后续所有install/update都走阿里源
HTTPS 证书或 DNS 导致超时怎么办
镜像地址本身没问题,但国内某些网络环境(尤其是企业内网、教育网)会拦截或污染 HTTPS 请求,表现为 Connection timed out 或 SSL certificate problem。
- 先试 curl:运行
curl -I https://mirrors.aliyun.com/composer/packages.json,看是否能快速返回200 OK - 如果失败,试试 HTTP(不推荐长期用):
composer config -g repo.packagist http://mirrors.aliyun.com/composer/,注意是http://不是https:// - DNS 污染常见于某些地区,可临时改
/etc/hosts加一行:114.114.114.114 mirrors.aliyun.com(实际 IP 建议用ping mirrors.aliyun.com查最新) - 别关 SSL 验证(如
composer config -g secure-http false),这会带来安全风险,仅作临时诊断用
repositories 配置 + 全局 fallback。很多人只设全局,结果一换机器就卡在 Installing dependencies —— 那往往不是源的问题,是根本没生效。 
