COMPOSER_AUTH是Composer用于安全配置私有仓库认证的环境变量,支持HTTP Basic、Bearer Token等凭据。通过将JSON格式的认证信息存储在CI环境变量或加密secrets中(如GitHub Actions的secrets.COMPOSER_AUTH),可在不暴露敏感数据的前提下自动完成身份验证。示例包含http-basic和bearer类型,需压缩为单行字符串设置。最佳实践包括使用最小权限的机器用户Token、启用过期机制、避免硬编码到auth.json并防止提交至版本控制,推荐提供auth.json.dist模板指导配置,确保CI中安全高效访问私有包。
在 CI 环境中使用私有 Composer 仓库时,需要安全地提供认证信息。通过 COMPOSER_AUTH 环境变量,可以在不暴露敏感凭据的前提下完成身份验证。
什么是 COMPOSER_AUTH?
COMPOSER_AUTH 是 Composer 支持的环境变量,用于配置仓库认证信息。它接受一个 JSON 字符串,包含 HTTP Basic 认证、Bearer Token 或 OAuth 凭据等。
Composer 在运行时会自动读取该变量并应用到对应的仓库,避免将敏感信息硬编码在 auth.json 文件中。
如何设置 COMPOSER_AUTH
以 GitHub Packages 或私有 Satis 仓库为例,你需要提供用户名和 Token(或仅 Token):
示例:{
"http-basic": {
"packages.example.com": {
"username": "your-username",
"password": "your-token"
}
},
"bearer": {
"gitlab.example.com": "your-bearer-token"
}
}将上述 JSON 内容压缩为一行字符串,并设置为环境变量:
export COMPOSER_AUTH='{"http-basic":{"packages.example.com":{"username":"your-username","password":"your-token"}}}'在 CI 中使用(以 GitHub Actions 为例)
将完整的 JSON 字符串存储在 CI 的加密 secrets 中,例如 COMPOSER_AUTH secret。
在工作流中直接引用:
jobs:
build:
steps:
- name: Install dependencies
run: composer install
env:
COMPOSER_AUTH: ${{ secrets.COMPOSER_AUTH }}这样 Composer 安装依赖时就能访问私有包,且 Token 不会出现在日志中。
注意事项与最佳实践
- 确保 JSON 格式正确,不能有多余逗号或换行
- 使用专用的机器用户 Token,限制权限范围
- Token 应启用过期机制,并定期轮换
- 避免在本地开发环境中提交
auth.json到版本控制 - 可在项目根目录添加
auth.json.dist作为模板,提示所需配置
基本上就这些。只要把认证信息通过环境变量注入,就能在 CI 中安全使用私有仓库。关键是不让 Token 泄露,同时保证 Composer 能正常读取。
