secure-http 默认为 true,仅允许 HTTPS 以确保安全;2. 可在私有内网、开发测试或迁移过渡期等特定场景下设为 false 以允许 HTTP;3. 关闭后需确保网络隔离、无中间人攻击风险,并尽快恢复 HTTPS;4. 应避免长期使用 HTTP,关闭该选项是最后手段。
Composer 的 secure-http 配置项用于控制是否允许通过不安全的 HTTP 协议访问远程资源(如包仓库)。默认情况下,该选项设置为 true,意味着只允许 HTTPS 连接,这是出于安全考虑的推荐做法。
只有在以下特定情况下,才应谨慎地关闭 secure-http:
私有内网仓库且仅支持 HTTP
如果你在企业内部搭建了 Composer 私有仓库(例如 Satis 或 Toran Proxy),并且该仓库部署在受信任的内网环境中,无法使用 HTTPS(比如没有配置 SSL 证书或负载均衡器不支持),此时可以关闭此选项。
- 确保网络环境隔离,外部无法访问该 HTTP 服务
- 确认服务器和客户端之间的通信不会被中间人攻击
开发测试环境临时调试
在本地开发或 CI/CD 测试流程中,为了快速验证仓库配置或镜像服务,可能临时启用纯 HTTP 服务。此时可临时关闭 secure-http 以跳过证书配置。
- 仅限非生产环境使用
- 完成测试后应及时恢复为 HTTPS 或重新开启 secure-http
旧系统迁移过渡期
某些遗留系统或老旧镜像服务尚未支持 HTTPS,正在计划升级过程中。在此期间,若必须接入这些服务,可临时关闭限制。
- 应设定明确的迁移时间表
- 避免长期依赖不安全连接
关闭方法是在 composer.json 中添加:
基本上就这些。虽然技术上可行,但每次关闭都意味着降低安全性,务必评估风险。能用 HTTPS 就别用 HTTP,哪怕自签名证书也可以配合 cafile 或禁用证书验证(更不推荐)来处理。关闭 secure-http 是最后的选择。
