使用 --dev 标记可分离开发与生产环境依赖,require 中的包始终安装并参与自动加载,require-dev 仅在开发时安装;生产环境执行 composer install --no-dev 可跳过开发依赖,避免自动加载其类,防止运行时错误。
使用 Composer 的 --dev 标记可以将某些依赖项限定在开发环境中安装,从而实现开发与生产环境自动加载的分离。这个机制的核心在于 Composer 对 require 和 require-dev 字段的区别处理。
理解 require 与 require-dev
在 composer.json 中,依赖分为两类:
- require:项目运行所必需的包,无论开发还是生产环境都会被安装,并加入自动加载机制。
-
require-dev:仅用于开发和测试的工具,比如 PHPUnit、PHPStan、PHP-CS-Fixer 等,只在执行
composer install或composer update时默认安装。
当你在部署生产环境时,应使用以下命令:
composer install --no-dev这会跳过 require-dev 中的所有包,不下载也不生成对应的自动加载映射,从而减小体积并提升安全性。
自动加载机制如何受影响
Composer 在执行 install 或 update 时会根据当前安装的包生成自动加载文件(如 vendor/autoload.php)。关键点如下:
- 所有
require中的包类都会被纳入自动加载范围。 -
require-dev中的包在使用--no-dev时不会被安装,其命名空间也不会出现在自动加载映射中。 - 即使代码中引用了 dev 包的类,在生产环境中也会导致致命错误,因此必须确保生产代码不依赖 dev-only 组件。
实际操作建议
为了正确区分环境,推荐以下做法:
- 把调试、测试、分析等工具放入
require-dev,例如:
- 在生产构建流程中始终使用
composer install --no-dev --optimize-autoloader,这样既排除开发依赖,又优化类加载性能。 - 配合
--classmap-authoritative可让 autoloader 只信任 classmap,进一步提升效率(适用于生产)。 - CI/CD 或本地开发则正常运行
composer install,自动包含 dev 依赖。
--dev 相关机制,能有效控制不同环境下哪些类会被加载,避免生产系统引入不必要的依赖或风险。 
