Composer提示GitHub API限制是因为未认证请求每小时仅60次,超限后报错;可通过配置Personal Access Token(需repo权限)提升至5000次/小时,并确保全局auth.json正确写入且无覆盖、用户一致、网络正常。
为什么 Composer 会提示 GitHub API 限制?
因为 Composer 在安装或更新依赖时,会通过 GitHub API 获取仓库元数据(比如 composer.json、tag 列表、zipball 下载地址等)。未认证的请求默认只有每小时 60 次限额,一旦超限就会报错:
Failed to download vendor/package: GitHub API limit (60 calls/hr) is exhausted.这个限制是按 IP 绑定的,共享网络(如公司出口、云服务器)更容易撞上。
如何用 OAuth Token 绕过限速?
GitHub 要求你生成一个 Personal Access Token,并让 Composer 用它发起带认证的请求,这样配额会提升到每小时 5000 次。关键点不是“随便填个 token”,而是必须确保 Composer 能正确读取并使用它:
- Token 需勾选
repo权限(仅读取私有/公开仓库信息,不需要delete_repo或admin:org) - 执行
composer config -g github-oauth.github.com,注意域名是github.com,不是api.github.com - 配置会写入全局
auth.json(通常在~/.composer/auth.json或%APPDATA%\Composer\auth.json),内容应为:{ "github-oauth": { "github.com": "ghp_abc123..." } }
常见失败原因和验证方法
即使配置了 token,仍可能继续报限速错误——多数是以下情况导致:
- token 已过期或被手动删除(GitHub 的 classic token 默认永不过期,但 fine-grained token 有明确有效期)
- 运行
composer install的用户跟执行composer config -g的不是同一个(比如用sudo或切换了系统用户) - 项目根目录下存在本地
auth.json,覆盖了全局配置;可检查composer config --list --global | grep github确认生效位置 - PHP 进程被禁用了
curl或 SSL 验证失败(尤其在某些旧版 CentOS 上),此时 token 认证根本发不出去
快速验证是否生效:运行 composer diagnose,看到 GitHub API: OK 表示已成功认证。
Token 泄露风险与最小权限实践
把 token 写进项目代码或提交到 Git 是高危操作。除非必要,不要在 composer.json 中硬编码,也不要把它放进 CI 脚本明文里。更安全的做法:
- CI 环境(如 GitHub Actions)直接用
${{ secrets.GITHUB_TOKEN }}(自带,作用域受限,无需额外配置) - 私有服务器部署时,用环境变量
COMPOSER_AUTH注入 JSON 字符串(格式同auth.json),避免落盘 - 开发机上定期轮换 token,删掉不再使用的旧 token(GitHub Settings → Developer settings → Personal access tokens)
真正容易被忽略的是:token 权限越小越好,public_repo 就够用的,别一上来就勾全选。否则一次泄露可能波及所有仓库。
