技术博客
执行 composer –version 输出类似 Composer version 2.7.7 (2024-06-12 13:45:00),其中 2.7.7 是真实语义化版本号,而括号里那个时间不是你本地安装或升级的时间,是官方 PHAR 包构建时的 UTC 时间戳。如果你自己从源码 git clone && php install.php 构建,会看到 dev-main 这类标识,且无精确时间——这说明你用的不是标准发布版。
直接写分支名就行,Composer 会自动识别为 dev- 前缀的开发版约束。但要注意:分支名必须存在于目标仓库的 Git 远程(如 GitHub/GitLab),且包的 composer.json 中需声明 "minimum-stability": "dev" 或在根项目中显式配置。
Composer 全局安装不是“装一次就能全局用”,而是指把 composer.phar 放到系统 PATH 里,让它在任意目录下都能被识别为命令;所谓“全局目录”也不是 Composer 自己管理的,是你手动指定的、存放全局包(如 laravel/installer)的位置。
Composer 在无网络环境(air-gapped)下不能直接工作,它默认依赖远程 Packagist 和 Git 仓库;但可以提前准备、离线缓存、本地替换源,实现“伪离线”安装。
因为 Composer 在安装某些包(尤其是 dev- 分支、vcs 类型仓库或未打 tag 的提交)时,会调用系统 git 命令克隆源码。Windows 默认不带 Git,而你又没把 Git 的 bin 目录加进 PATH,就会触发这个错误。
Composer 本身**不会对每个下载的 .zip/.tar 包执行 GPG 解签名**——它不内置 GPG 引擎,也不要求包作者上传 .sig 文件。所谓“签名验证”,实际是三层防御:HTTPS 连接加密 + 服务器证书可信(TLS 验证)+ composer.lock 中记录的 dist.shasum 哈希比对。这三者缺一不可,但都不是传统意义的“数字签名”。
Composer 默认所有 composer install 或 composer update 都会联网拉取包,包括插件(比如 hirak/prestissimo、phpstan/extension-installer)。离线时直接报错:Could not fetch https://repo.packagist.org/packages.json,连 metadata 都拿不到,更别说插件本身。
Composer 本身不支持在 auth.json 里直接写“多域名共享同一套账号”的通配规则,每个域名必须单独声明。你不能写 "*.example.com": { … },它会忽略或报错。
WSL 默认不会把 Windows 的 PATH 自动继承过来,更不会识别 Windows 下通过 Installer 安装的 Composer。你在 WSL 里敲 composer –version 报 command not found,大概率是压根没在 Linux 环境里装过它。
核心是改 composer.json 的 repositories 配置,把默认的 packagist.org 关掉,再加你的私有源。不关默认源的话,Composer 会先去公网找——哪怕你写了私有地址,它也可能绕过你直接连外网。