如何解决Composer在git操作中权限被拒绝的问题？

本文共计964个文字，预计阅读时间需要4分钟。

由于您的要求是简化内容，不使用图表解释，不使用方言，不超过100字，并且直接输出结果，以下是对您提供的文本的简化

假原创开头内容本体，无需图解，不数落，不超过100字，直接输出结果：

ssh-add -l 为空？说明 agent 根本没启动或密钥没加载

在执行 composer install 的机器上（尤其是 CI/CD 服务器、Docker 容器、跳板机），直接运行：

• ssh-add -l —— 如果输出为空，或报 Could not open a connection to your authentication agent，说明当前 shell 没继承到 agent
• 临时修复：运行 eval $(ssh-agent) 启动 agent，再 ssh-add ~/.ssh/id_rsa（或对应私钥路径）
• 但注意：这只是当前 shell 有效；若你是通过 ssh user@host 连上去的，必须确保连接时加了 -o ForwardAgent=yes，否则子进程（如 Git）根本看不到你的密钥
• 别依赖 ~/.ssh/config 里的 ForwardAgent yes —— 检查 Host 别名是否真匹配目标主机名（比如你连的是 gitlab.example.com，但 config 里只写了 Host gitlab，那就不生效）

git config --global core.sshCommand 是关键补丁

即使 SSH 连接启用了 forwarding，Git 在非交互式环境（CI、Docker、cron）中仍可能绕过 agent。强制它走标准 OpenSSH 并透传 agent：

• 运行 git config --global core.sshCommand "ssh -o ForwardAgent=yes"
• 这个配置比改 ~/.ssh/config 更可靠，因为它作用于所有 Git 的 SSH 调用，不依赖连接上下文
• 验证是否生效：git ls-remote git@github.com:your-org/private-repo.git，能返回 refs 表示通了
• 绝对不要写成 core.sshCommand="ssh -i /path/to/key" —— 这会硬编码私钥，绕过 agent，失去多密钥管理和安全性

auth.json 或 github-oauth 配置对 SSH 场景完全无效

Composer 自身不处理 SSH 认证，它只是调用系统 git 命令。所以以下操作全是徒劳：

• 在 auth.json 里配 http-basic 或 github-oauth —— 对 git@ 协议的仓库不起作用
• 在 composer.json 的 repositories 中写 "url": "ssh://git@..." 或幻想 Composer 能接管认证 —— 不行
• 把私钥文件 chmod 600 都没用，关键是 agent 是否可达、Git 是否被正确配置去用它
• 如果 ssh -T git@github.com 都失败，问题不在 Composer，先解决基础 SSH 连通性

CI/CD 环境下最容易漏掉的三件事

在 GitHub Actions、GitLab CI、Jenkins 等环境中，SSH agent forwarding 很容易断链：

• GitHub Actions 默认禁用 agent forwarding；必须用 ssh-agent action 显式注入，并配合 add-ssh-key 步骤
• GitLab CI 中，before_script 里的 eval $(ssh-agent) 只对当前 step 生效；后续 job 需要重新加载，或改用 SSH_AUTH_SOCK 环境变量传递
• Docker 容器内默认无 ssh-agent；除非你用 --mount=type=ssh 挂载，否则 ssh-add -l 必然为空
• 所有场景下，git config --global core.sshCommand 这一步不能省，它是最后的兜底保障

真正卡住人的地方，往往不是密钥本身，而是 agent 的生命周期管理与 Git 的调用链路是否完整透传——每层都得确认，少一环就 Permission denied (publickey)。