使用Composer安全管理您的PHP私有依赖包
一、前言
在PHP开发中,我们经常需要将内部工具包托管为私有仓库。传统的账号密码验证方式存在安全隐患,而GitHub Personal Access Token(PAT)提供了一种更安全的鉴权方案。本文将通过4个核心步骤+3个避坑指南,手把手教您在Composer中优雅地使用PAT安装私有包。
二、为什么要用PAT?
- 安全性:细粒度权限控制(可设置过期时间/单仓库权限)
- 便捷性:避免重复输入密码,适合CI/CD环境
- 兼容性:支持GitHub/GitLab/Bitbucket等平台
三、5步快速实现私有包安装
步骤1:生成GitHub PAT
-
点击 Generate new token → Generate new token (classic)
-
配置权限:
markdown- [x] repo (全仓库权限) - [ ] workflow (可选) - [ ] admin:public_key (可选)
生成并立即保存Token(只会显示一次!)
步骤2:配置Composer鉴权
bash
# 全局配置(推荐)
composer config --global github-oauth.github.com YOUR_PAT
# 项目级配置
composer config github-oauth.github.com YOUR_PAT步骤3:声明私有仓库
在composer.json中添加:
bash
{
"repositories": [
{
"type": "vcs",
"url": "https://github.com/你的用户名/仓库名.git"
}
]
}步骤4:安装私有包
bash
# 安装开发版本
composer require vendor/package:dev-main
# 安装稳定版本
composer require vendor/package:^1.0步骤5:验证安装结果
bash
# 查看包信息
composer show -a vendor/package
# 检查vendor目录
ls vendor/vendor/package/