如何使作曲家在项目中引用GitHub上的私有仓库依赖?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1110个文字,预计阅读时间需要5分钟。
使用Composer依赖私有GitHub包时,核心在于让Composer获取访问这些私有仓库的权限。常见且推荐的做法是:
要让Composer能够顺利拉取私有的GitHub包,你需要配置好认证凭据。这里我们主要讨论两种主流且可靠的方案:SSH密钥和GitHub Personal Access Token。
方案一:使用SSH密钥 这是许多开发者偏爱的方式,因为它与Git本身的认证机制高度兼容。
生成SSH密钥对(如果还没有的话): 如果你还没有SSH密钥,或者想为Composer专门生成一个,可以在终端运行:
ssh-keygen -t rsa -b 4096 -C "your_email@example.com" 按照提示操作,通常会保存在
~/.ssh/id_rsa和
~/.ssh/id_rsa.pub。
将公钥添加到GitHub账户或组织: 登录GitHub,进入
Settings -> SSH and GPG keys,点击
New SSH key,将
id_rsa.pub文件的内容粘贴进去。如果你是在组织层面使用,也可以在组织设置中添加部署密钥(Deploy Key),但部署密钥通常只给单个仓库使用。对于多个私有包,账户级别的SSH密钥更方便。
配置Composer的Git客户端: Composer在内部会调用Git命令来克隆仓库。确保你的Git客户端配置了SSH。通常情况下,只要你的SSH代理(
ssh-agent)运行着,并且私钥被正确添加,Composer就能自动利用SSH进行认证。 你可以通过运行
ssh-add ~/.ssh/id_rsa来添加私钥到
ssh-agent。
-
在
composer.json中指定仓库:
在你的项目composer.json文件中,你需要明确告诉Composer你的私有包在哪里。
{ "name": "your-project/app", "description": "My main application", "type": "project", "require": { "php": "^8.0", "your-vendor/private-package": "^1.0" }, "repositories": [ { "type": "vcs", "url": "git@github.com:your-vendor/private-package.git" } ], "config": { "allow-plugins": { "php-http/discovery": true } } }
注意
"url": "git@github.com:your-vendor/private-package.git",这里使用的是SSH协议的Git URL。
方案二:使用GitHub Personal Access Token (PAT) 当SSH不太方便,比如在CI/CD环境中,或者你不想管理SSH密钥时,PAT是个很好的替代方案。
生成Personal Access Token: 登录GitHub,进入
Settings -> Developer settings -> Personal access tokens -> Tokens (classic)(或者
Fine-grained tokens,但classic更常用)。 点击
Generate new token,给它一个有意义的名字(例如"Composer for My Project")。 关键是权限(Scopes): 至少需要勾选
repo权限,以便Composer能够读取私有仓库。如果你的包需要发布到Packagist或者其他操作,可能还需要更多权限。 生成后,请务必复制这个Token,因为它只会显示一次。
-
配置Composer使用PAT: 你可以通过多种方式让Composer使用这个PAT:
全局配置(不推荐用于生产环境):
composer config -g github-oauth.github.com <YOUR_GITHUB_TOKEN> 这会将Token保存在你的全局Composer配置中(通常是
~/.composer/config.json)。在开发机上方便,但生产环境或共享环境不安全。
-
项目级别配置(推荐): 在你的项目根目录运行:
composer config github-oauth.github.com <YOUR_GITHUB_TOKEN> 这会将Token保存在项目
composer.json同级的一个
auth.json文件中。请务必将
auth.json添加到
.gitignore中,绝不能提交到版本控制!
// auth.json { "github-oauth": { "github.com": "<YOUR_GITHUB_TOKEN>" } }
环境变量(CI/CD环境推荐): 在CI/CD管道中,你可以设置一个环境变量,例如
COMPOSER_AUTH:
export COMPOSER_AUTH='{"github-oauth": {"github.com": "<YOUR_GITHUB_TOKEN>"}}' 或者更直接地,设置
GITHUB_TOKEN环境变量(Composer 2.0+ 会自动识别):
export GITHUB_TOKEN=<YOUR_GITHUB_TOKEN> 这是最安全和灵活的方式,因为Token不会持久化在文件系统中。
-
在
composer.json中指定仓库:
与SSH方式类似,但URL可以使用HTTPS协议。{ "name": "your-project/app", "description": "My main application", "type": "project", "require": { "php": "^8.0", "your-vendor/private-package": "^1.0" }, "repositories": [ { "type": "vcs", "url": "https://github.com/your-vendor/private-package.git" } ] }
Composer会尝试使用配置的PAT来认证HTTPS请求。
如何选择SSH密钥还是Personal Access Token?哪种方式更适合我的场景?
选择SSH密钥还是
本文共计1110个文字,预计阅读时间需要5分钟。
使用Composer依赖私有GitHub包时,核心在于让Composer获取访问这些私有仓库的权限。常见且推荐的做法是:
要让Composer能够顺利拉取私有的GitHub包,你需要配置好认证凭据。这里我们主要讨论两种主流且可靠的方案:SSH密钥和GitHub Personal Access Token。
方案一:使用SSH密钥 这是许多开发者偏爱的方式,因为它与Git本身的认证机制高度兼容。
生成SSH密钥对(如果还没有的话): 如果你还没有SSH密钥,或者想为Composer专门生成一个,可以在终端运行:
ssh-keygen -t rsa -b 4096 -C "your_email@example.com" 按照提示操作,通常会保存在
~/.ssh/id_rsa和
~/.ssh/id_rsa.pub。
将公钥添加到GitHub账户或组织: 登录GitHub,进入
Settings -> SSH and GPG keys,点击
New SSH key,将
id_rsa.pub文件的内容粘贴进去。如果你是在组织层面使用,也可以在组织设置中添加部署密钥(Deploy Key),但部署密钥通常只给单个仓库使用。对于多个私有包,账户级别的SSH密钥更方便。
配置Composer的Git客户端: Composer在内部会调用Git命令来克隆仓库。确保你的Git客户端配置了SSH。通常情况下,只要你的SSH代理(
ssh-agent)运行着,并且私钥被正确添加,Composer就能自动利用SSH进行认证。 你可以通过运行
ssh-add ~/.ssh/id_rsa来添加私钥到
ssh-agent。
-
在
composer.json中指定仓库:
在你的项目composer.json文件中,你需要明确告诉Composer你的私有包在哪里。
{ "name": "your-project/app", "description": "My main application", "type": "project", "require": { "php": "^8.0", "your-vendor/private-package": "^1.0" }, "repositories": [ { "type": "vcs", "url": "git@github.com:your-vendor/private-package.git" } ], "config": { "allow-plugins": { "php-http/discovery": true } } }
注意
"url": "git@github.com:your-vendor/private-package.git",这里使用的是SSH协议的Git URL。
方案二:使用GitHub Personal Access Token (PAT) 当SSH不太方便,比如在CI/CD环境中,或者你不想管理SSH密钥时,PAT是个很好的替代方案。
生成Personal Access Token: 登录GitHub,进入
Settings -> Developer settings -> Personal access tokens -> Tokens (classic)(或者
Fine-grained tokens,但classic更常用)。 点击
Generate new token,给它一个有意义的名字(例如"Composer for My Project")。 关键是权限(Scopes): 至少需要勾选
repo权限,以便Composer能够读取私有仓库。如果你的包需要发布到Packagist或者其他操作,可能还需要更多权限。 生成后,请务必复制这个Token,因为它只会显示一次。
-
配置Composer使用PAT: 你可以通过多种方式让Composer使用这个PAT:
全局配置(不推荐用于生产环境):
composer config -g github-oauth.github.com <YOUR_GITHUB_TOKEN> 这会将Token保存在你的全局Composer配置中(通常是
~/.composer/config.json)。在开发机上方便,但生产环境或共享环境不安全。
-
项目级别配置(推荐): 在你的项目根目录运行:
composer config github-oauth.github.com <YOUR_GITHUB_TOKEN> 这会将Token保存在项目
composer.json同级的一个
auth.json文件中。请务必将
auth.json添加到
.gitignore中,绝不能提交到版本控制!
// auth.json { "github-oauth": { "github.com": "<YOUR_GITHUB_TOKEN>" } }
环境变量(CI/CD环境推荐): 在CI/CD管道中,你可以设置一个环境变量,例如
COMPOSER_AUTH:
export COMPOSER_AUTH='{"github-oauth": {"github.com": "<YOUR_GITHUB_TOKEN>"}}' 或者更直接地,设置
GITHUB_TOKEN环境变量(Composer 2.0+ 会自动识别):
export GITHUB_TOKEN=<YOUR_GITHUB_TOKEN> 这是最安全和灵活的方式,因为Token不会持久化在文件系统中。
-
在
composer.json中指定仓库:
与SSH方式类似,但URL可以使用HTTPS协议。{ "name": "your-project/app", "description": "My main application", "type": "project", "require": { "php": "^8.0", "your-vendor/private-package": "^1.0" }, "repositories": [ { "type": "vcs", "url": "https://github.com/your-vendor/private-package.git" } ] }
Composer会尝试使用配置的PAT来认证HTTPS请求。
如何选择SSH密钥还是Personal Access Token?哪种方式更适合我的场景?
选择SSH密钥还是