PHP Composer 包管理

Composer 是 PHP 的依赖管理工具，类似 Node.js 的 npm，是现代 PHP 开发的标配。在 Composer 出现之前，PHP 开发者需要手动下载和管理第三方库，版本冲突和依赖关系混乱是家常便饭。Composer 通过 composer.json 声明依赖，自动解析版本约束，下载所有依赖及其依赖的依赖，彻底改变了 PHP 的生态系统。

安装 Composer

Composer 是一个命令行工具，安装后可以在任何项目中使用。Linux/macOS 通过命令行安装，Windows 提供了图形化安装程序。

BASH 实例

# Linux / macOS
curl -sS https://getcomposer.org/installer | php
mv composer.phar /usr/local/bin/composer
Windows：下载 Composer-Setup.exe
https://getcomposer.org/download/
验证安装
composer --version
``
国内访问 Composer 官方源可能较慢，可以配置阿里云镜像加速：composer config -g repo.packagist composer https://mirrors.aliyun.com/composer/。如果只想对当前项目生效，去掉 -g 参数即可。

初始化项目
在新项目目录中运行 composer init 会以交互方式引导你创建 composer.json 文件，也可以直接手动创建。

`bash
composer init
`

会生成 composer.json：

`json
{
    "name": "myapp/blog",
    "require": {
        "php": ">=8.0"
    },
    "autoload": {
        "psr-4": {
            "App\\": "src/"
        }
    }
}
`

name 字段格式为 厂商名/包名，全部小写，用连字符分隔单词。require 中的 php 约束指定了项目所需的最低 PHP 版本，Composer 会在安装时检查当前 PHP 版本是否满足要求。autoload 配置 PSR-4 自动加载，将 App\ 命名空间映射到 src/ 目录。

安装依赖包
Composer 通过 require 命令安装包，会自动解析版本约束并更新 composer.json 和 composer.lock。

`bash
安装包

composer require guzzlehttp/guzzle
composer require monolog/monolog
安装开发依赖（不上生产）
composer require --dev phpunit/phpunit
安装 composer.json 中所有依赖
composer install
更新所有包到最新版本
composer update
更新指定包
composer update monolog/monolog
`
composer install 和 composer update 的区别很重要：install 根据 composer.lock 安装精确版本，保证所有环境一致；update 忽略 lock 文件，安装满足约束的最新版本并更新 lock 文件。生产环境部署应使用 composer install --no-dev，开发时才用 update。

使用已安装的包
安装完成后，只需在入口文件引入 vendor/autoload.php，所有已安装的包和自己的类都会被自动加载，无需手动 require。

`php
// 引入自动加载器（只需一行）
require __DIR__ . '/vendor/autoload.php';

// 使用 Guzzle 发送 HTTP 请求
use GuzzleHttp\Client;
$client   = new Client();
$response = $client->get('https://api.github.com/users/php');
$data     = json_decode($response->getBody(), true);
echo $data['public_repos'];
`

Composer 的自动加载器会根据 PSR-4 规范和包的配置，在需要时自动找到并加载对应的类文件。这个机制让 PHP 开发告别了满屏的 require 语句，代码更加整洁。

自动加载自己的类
除了加载第三方包，Composer 还可以自动加载项目自己的类，只需在 composer.json 中配置 PSR-4 映射，然后运行 composer dump-autoload 更新自动加载文件。

`php
// composer.json 配置 PSR-4
// "autoload": { "psr-4": { "App\\": "src/" } }

// 更新自动加载
// composer dump-autoload
// src/Services/MailService.php
namespace App\Services;
class MailService {
    public function send(string $to, string $subject): bool {
        // 发送邮件逻辑
        return true;
    }
}
// index.php
require __DIR__ . '/vendor/autoload.php';
use App\Services\MailService;
$mail = new MailService();
$mail->send('user@example.com', '欢迎注册');
`

每次新增类文件后，如果类没有被自动加载，运行 composer dump-autoload 重新生成自动加载映射即可。生产环境可以使用 composer dump-autoload --optimize（或 -o）生成优化的类映射，加快自动加载速度。

版本约束语法
Composer 使用语义化版本（SemVer）和多种约束语法来指定依赖版本范围。
`json
{
    "require": {
        "monolog/monolog": "^2.0",
        "guzzlehttp/guzzle": "~7.4",
        "phpunit/phpunit": ">=9.0 <11.0",
        "nesbot/carbon": "*"
    }
}
`

常用约束符号：^2.0 表示 >=2.0.0 <3.0.0（允许次版本和补丁版本升级，不允许主版本升级）；~7.4 表示 >=7.4.0 <7.5.0（只允许补丁版本升级）；* 表示任意版本（不推荐，可能引入破坏性变更）。推荐使用 ^ 约束，它遵循语义化版本规范，在保持兼容性的前提下允许升级。

常用包推荐
包名 用途
guzzlehttp/guzzle HTTP 客户端
monolog/monolog 日志记录
vlucas/phpdotenv 读取 .env 配置
ramsey/uuid 生成 UUID
nesbot/carbon 日期时间处理
phpmailer/phpmailer 发送邮件
intervention/image 图片处理
symfony/validator 数据验证
这些都是 PHP 生态中经过大量项目验证的成熟库，下载量巨大，维护活跃。在选择第三方包时，建议关注：GitHub Star 数量、最近更新时间、是否有完善的文档和测试、是否支持你的 PHP 版本。
常用命令速查
`bash
composer require 包名          # 安装包
composer remove 包名           # 卸载包
composer update                # 更新所有依赖
composer install               # 根据 lock 文件安装
composer dump-autoload         # 重新生成自动加载
composer show                  # 列出已安装的包
composer search 关键词         # 搜索包
composer outdated              # 查看可更新的包
`

composer outdated 会列出所有有新版本可用的包，并标注是否有破坏性变更（红色表示主版本升级，黄色表示次版本升级）。定期检查并更新依赖是保持项目安全的重要习惯，尤其是安全补丁版本应及时更新。

.gitignore 配置
`
/vendor/
composer.lock  # 可选，库项目不提交，应用项目提交

包名	用途
guzzlehttp/guzzle	HTTP 客户端
monolog/monolog	日志记录
vlucas/phpdotenv	读取 .env 配置
ramsey/uuid	生成 UUID
nesbot/carbon	日期时间处理
phpmailer/phpmailer	发送邮件
intervention/image	图片处理
symfony/validator	数据验证

vendor/ 目录包含所有依赖的源代码，体积庞大，不应提交到版本控制。composer.lock 文件记录了所有依赖的精确版本，对于应用项目（网站、API）应提交到版本控制，确保团队成员和生产环境使用完全相同的依赖版本；对于库项目（供他人使用的包），则不应提交 lock 文件。


常见问题

Q1：composer install 和 composer update 有什么区别？

A：composer install 读取 composer.lock 文件，安装其中记录的精确版本，如果 lock 文件不存在则行为与 update 相同。composer update 忽略 lock 文件，根据 composer.json 中的版本约束安装最新满足条件的版本，并更新 lock 文件。生产环境部署应始终使用 composer install，保证与开发环境版本一致；只有在需要升级依赖时才在开发环境运行 update。


Q2：如何解决 Composer 安装时的版本冲突？

A：版本冲突通常是因为两个包对同一个依赖有不兼容的版本要求。解决步骤：① 运行 composer why-not 包名版本 查看冲突原因；② 尝试升级或降级冲突的包；③ 查看各包的 changelog，了解是否有兼容版本；④ 如果实在无法解决，可以考虑用 replace 字段或寻找替代包。composer diagnose 命令可以检查常见的配置问题。

Q3：vendor 目录很大，如何加快 Composer 安装速度？

A：几个优化方法：① 使用国内镜像（阿里云、腾讯云）；② 使用 composer install --no-dev 跳过开发依赖；③ 使用 composer install --prefer-dist 下载压缩包而不是克隆 Git 仓库；④ 在 CI/CD 中缓存 vendor 目录，只在 composer.lock 变化时重新安装；⑤ 使用 composer dump-autoload --optimize 优化自动加载性能。


Q4：如何发布自己的 Composer 包到 Packagist？

A：步骤：① 在 GitHub 创建公开仓库，添加 composer.json（包含 name、description、require、autoload 等字段）；② 在 packagist.org 注册账号并提交包的 GitHub 地址；③ 在 GitHub 仓库设置中添加 Packagist 的 Webhook，这样每次推送代码时 Packagist 会自动同步；④ 使用 Git Tag 发布版本（如 git tag v1.0.0 && git push --tags`），Packagist 会自动识别版本号。