使用Composer安全管理您的PHP私有依赖包

一、前言

在PHP开发中，我们经常需要将内部工具包托管为私有仓库。传统的账号密码验证方式存在安全隐患，而GitHub Personal Access Token（PAT）提供了一种更安全的鉴权方案。本文将通过4个核心步骤+3个避坑指南，手把手教您在Composer中优雅地使用PAT安装私有包。

---

二、为什么要用PAT？

1. ​安全性：细粒度权限控制（可设置过期时间/单仓库权限）
2. ​便捷性：避免重复输入密码，适合CI/CD环境
3. ​兼容性：支持GitHub/GitLab/Bitbucket等平台

---

三、5步快速实现私有包安装

步骤1：生成GitHub PAT

1. 访问 GitHub Token生成页面
2. 点击 ​Generate new token​ → ​Generate new token (classic)
3. 配置权限：

   - [x] repo (全仓库权限)
   - [ ] workflow (可选)
   - [ ] admin:public_key (可选）
   

生成并立即保存Token​（只会显示一次！）

步骤2：配置Composer鉴权

# 全局配置（推荐）
composer config --global github-oauth.github.com YOUR_PAT# 项目级配置
composer config github-oauth.github.com YOUR_PAT

步骤3：声明私有仓库

在composer.json中添加：

{"repositories": [{"type": "vcs","url": "https://github.com/你的用户名/仓库名.git"}]
}

步骤4：安装私有包

# 安装开发版本
composer require vendor/package:dev-main# 安装稳定版本
composer require vendor/package:^1.0

步骤5：验证安装结果

# 查看包信息
composer show -a vendor/package# 检查vendor目录
ls vendor/vendor/package/