技术博客
不是为了“授权”,而是绕过 GitHub 的匿名请求限流。没配 token 时,composer install 或 composer update 拉私有库、甚至某些高频访问的公开包(比如带大量 fork/submodule 的),会直接报 403 rate limit exceeded 或卡在 Cloning into… —— 这其实是 GitHub 在拒绝未认证的 API 请求。
–dry-run 不是“假装运行”,而是让 Composer 完整走完依赖解析、版本决策、脚本规划等全部逻辑,只跳过写文件这一步——不改 vendor/,不重写 composer.lock,不执行 autoload 生成,也不建软链接。它输出的不是“可能”,而是「这次 update / require / remove 真正会干的事」。
阿里云官方 PHP SDK 不是单个包,而是按服务拆分成多个独立包,直接 composer require aliyun/aliyun-openapi-php-sdk 会失败——这个仓库早已废弃,且未发布到 Packagist。
因为 Laravel Telescope 默认会记录所有 Log、Query、Request、Event 等 entry,而很多第三方包(比如 guzzlehttp/guzzle、spatie/laravel-backup)在出错或调试时会主动调用 Log::debug() 或写入 stderr,这些日志一旦被 Telescope 拦截,就会原样存进数据库并显示在 UI 里——包括 API 密钥、数据库连接串、临时 token 等。
Composer 默认只认 Packagist,想装 GitLab 或 Bitbucket 上的包,光写 "vendor/name": "dev-main" 没用——它根本找不到源。必须在 composer.json 顶层显式声明仓库地址和类型。
执行 composer –version 输出类似 Composer version 2.7.7 (2024-06-12 13:45:00),其中 2.7.7 是真实语义化版本号,而括号里那个时间不是你本地安装或升级的时间,是官方 PHAR 包构建时的 UTC 时间戳。如果你自己从源码 git clone && php install.php 构建,会看到 dev-main 这类标识,且无精确时间——这说明你用的不是标准发布版。
Composer 本身不支持在 auth.json 里直接写“多域名共享同一套账号”的通配规则,每个域名必须单独声明。你不能写 "*.example.com": { … },它会忽略或报错。
PHP里的public不是“共享文件夹”,而是“谁都能伸手拿、也能随手改”的开放接口。它不校验调用方身份,也不拦截非法赋值——只要在作用域内,$obj->prop就能读写,连类型都不拦。
核心是改 composer.json 的 repositories 配置,把默认的 packagist.org 关掉,再加你的私有源。不关默认源的话,Composer 会先去公网找——哪怕你写了私有地址,它也可能绕过你直接连外网。
默认情况下,composer 的网络请求超时是 300 秒(5 分钟),但实际遇到慢源(比如国内直连 packagist.org)、代理不稳定或大包下载时,经常在 Downloading… 阶段卡死,最终抛出类似 Connection timed out 或 cURL error 28: Operation timed out 的错误。