技术博客
Composer 本身不直接处理路径斜杠转换,而是依赖 PHP 底层的 realpath()、dirname()、basename() 等函数,以及 PSR-4 自动加载器对 和 / 的兼容解析。PHP 7.4+ 在 Windows 上已原生支持用正斜杠 / 作为目录分隔符(如 vendor/autoload.php),Composer 的所有路径拼接逻辑都基于此。
Composer 不支持直接写 sha1 当作版本号(比如 "vendor/package": "abc1234" 会报错“invalid version”),但可以绕过校验:把 commit 哈希拼进分支名,再用 dev- 前缀声明为开发版。Composer 会把它当作一个合法的“分支别名”来解析。
Composer 默认只认 Packagist,想装 GitLab 或 Bitbucket 上的包,光写 "vendor/name": "dev-main" 没用——它根本找不到源。必须在 composer.json 顶层显式声明仓库地址和类型。
执行 composer –version 输出类似 Composer version 2.7.7 (2024-06-12 13:45:00),其中 2.7.7 是真实语义化版本号,而括号里那个时间不是你本地安装或升级的时间,是官方 PHAR 包构建时的 UTC 时间戳。如果你自己从源码 git clone && php install.php 构建,会看到 dev-main 这类标识,且无精确时间——这说明你用的不是标准发布版。
直接写分支名就行,Composer 会自动识别为 dev- 前缀的开发版约束。但要注意:分支名必须存在于目标仓库的 Git 远程(如 GitHub/GitLab),且包的 composer.json 中需声明 "minimum-stability": "dev" 或在根项目中显式配置。
Composer 的 scripts 不是写完就自动运行的,它只是注册了一组命名任务,必须显式调用才能执行。比如你写了 "post-install-cmd": "php build.php",那只有在 composer install 结束后才跑;如果想手动跑,得用 composer run-script post-install-cmd 或更短的 composer run post-install-cmd。
Composer 本身**不会对每个下载的 .zip/.tar 包执行 GPG 解签名**——它不内置 GPG 引擎,也不要求包作者上传 .sig 文件。所谓“签名验证”,实际是三层防御:HTTPS 连接加密 + 服务器证书可信(TLS 验证)+ composer.lock 中记录的 dist.shasum 哈希比对。这三者缺一不可,但都不是传统意义的“数字签名”。
Composer 本身不支持在 auth.json 里直接写“多域名共享同一套账号”的通配规则,每个域名必须单独声明。你不能写 "*.example.com": { … },它会忽略或报错。
核心是改 composer.json 的 repositories 配置,把默认的 packagist.org 关掉,再加你的私有源。不关默认源的话,Composer 会先去公网找——哪怕你写了私有地址,它也可能绕过你直接连外网。
默认情况下,composer 的网络请求超时是 300 秒(5 分钟),但实际遇到慢源(比如国内直连 packagist.org)、代理不稳定或大包下载时,经常在 Downloading… 阶段卡死,最终抛出类似 Connection timed out 或 cURL error 28: Operation timed out 的错误。