Composer 通过 .env 文件或系统环境变量加载认证信息,用于配置私有仓库的访问权限。它本身不直接读取 .env 文件,但支持从运行环境中获取变量,常与 Laravel 或自定义脚本结合使用。
环境变量的作用
在使用私有 Packagist 仓库或 GitHub、GitLab 等需要认证的源时,Composer 需要凭证(如 API Token)。直接在 composer.json 中写入密码不安全,因此推荐使用环境变量。
常见用法是将令牌存储在环境变量中,例如:
COMPOSER_AUTH_TOKEN=your_private_token然后在 auth.json 或 composer.json 中引用它。
使用 COMPOSER_AUTH 环境变量
Composer 支持一个特殊的环境变量 COMPOSER_AUTH,其值为 JSON 格式的认证数据。
示例:
export COMPOSER_AUTH='{"http-basic": {"example-repo.com": {"username": "user", "password": "pass"}}}'或用于 OAuth 认证:
export COMPOSER_AUTH='{"github-oauth": {"github.com": "your_token"}}'执行 composer install 时,Composer 自动读取该变量完成认证。
结合 .env 文件使用
虽然 Composer 不解析 .env 文件,但在 Laravel 或 Symfony 等项目中,可通过 PHP 脚本读取 .env 并设置 COMPOSER_AUTH。
步骤如下:
- 在项目根目录创建 .env 文件,添加: GITHUB_TOKEN=your_github_token
- 在部署脚本或 CI 环境中导出变量: export COMPOSER_AUTH="{\"github-oauth\":{\"github.com\":\"$GITHUB_TOKEN\"}}"
- 再运行 composer install
这样既保持配置安全,又实现自动化认证。
auth.json 的替代方案
通常认证信息写在 auth.json 文件中,但它不应提交到版本控制。使用环境变量可避免本地文件遗漏或误提交。
例如,CI/CD 流程中可以直接注入 COMPOSER_AUTH,无需额外文件。
基本上就这些。关键在于把敏感信息交给运行环境管理,而不是硬编码。Composer 只负责读取,安全由部署方式保障。
