Composer如何在Ubuntu上安装_Composer Ubuntu安装教程【推荐】

必须用官方脚本安装Composer而非apt，因apt版版本陈旧（2.2.x）、不支持现代框架、self-update失效且无PATH配置；需校验SHA384并确保zip/phar/mbstring等PHP扩展启用。

这里有个核心建议：千万别图省事用 apt install composer。这个命令装出来的，可以说是个“假全局”版本——版本号通常被锁死在 2.2.22 或更早，不仅无法满足现代框架对 ^2.5 的依赖约束，在 PHP 8.3 环境下甚至会直接报错。更麻烦的是，后续的 composer self-update 要么失败，要么会静默降级，让你陷入版本困境。

为什么 apt install composer 一定不能用

原因很简单，Ubuntu 官方软件源里的 php-composer 包并非由 Composer 官方团队维护，更新节奏严重滞后。截至 2026 年 4 月，即便是最新的 LTS 系统，默认提供的也普遍是 2.2.x 版本。这个版本存在几个硬伤，每一个都可能成为你后续开发的绊脚石：

• 安装路径不可写：它被装在 /usr/share/php/composer/composer，这个目录通常没有写入权限，导致 self-update 命令永远卡住，无法升级。
• 环境配置缺失：安装后不会自动加入系统的 $PATH 环境变量，甚至可能没有设置执行权限。结果就是，装完直接在终端输入 composer --version，很可能会得到一个 command not found 的报错。
• 与现代框架不兼容：像 Lara vel 11+、Symfony 7+ 这类现代框架，已经明确要求 Composer 2.5+ 版本，因为它们依赖新版在自动加载优化和插件加载逻辑上的改进。使用旧版，框架会直接拒绝执行 install 命令。

如何判断自己是否“中招”？很简单，在终端运行 composer --version。如果输出信息里包含 2.0.x 或 2.2.x，那基本就可以判定你安装的是有问题的 apt 版本。

必须校验 SHA384 后再安装 composer.phar

跳过校验步骤看似省事，实则是在给自己的项目埋下严重的安全隐患。试想，如果下载过程被中间人劫持，那么后续所有依赖包的安装、自动加载文件的生成都将变得不可信。这里务必注意，校验用的签名必须来自官网（https://www.php.cn/link/50c8932f79e0369ac94e06e9c6bd86e5），而不是第三方镜像站提供的哈希值。

最稳妥的做法是，直接复制并执行下面这条包含了完整校验流程的命令：

EXPECTED_CHECKSUM="$(curl -sS https://www.php.cn/link/50c8932f79e0369ac94e06e9c6bd86e5)"
php -r "copy('https://getcomposer.org/installer', 'composer-setup.php');"
ACTUAL_CHECKSUM="$(php -r "echo hash_file('sha384', 'composer-setup.php');")"
if [ "$EXPECTED_CHECKSUM" != "$ACTUAL_CHECKSUM" ]; then
  echo 'Integrity check failed' >&2; rm composer-setup.php; exit 1
fi
sudo php composer-setup.php --install-dir=/usr/local/bin --filename=composer
rm composer-setup.php

安装完成后，用 composer --version 验证一下，如果输出类似 Composer version 2.7.7 这样的信息，就说明安装成功了。

PHP 扩展缺失会导致 composer install 直接崩

这里有个常见的认知误区：composer --version 能成功运行，并不代表 Composer 就能正常工作了。真正到了执行 composer install 这种重体力活的时候，全靠底层的 PHP 扩展支撑。缺少任何一个关键扩展，进程都可能直接崩溃：

• zip：用于解压 vendor 里的依赖包，缺少会报 Class 'ZipArchive' not found。
• phar：用于构建和读取 PHAR 文件，缺少会报 PharData not found。
• mbstring, xml, json, curl：这些扩展负责解析 composer.json、处理远程仓库元数据、生成自动加载的类映射文件，缺一不可。

如何确认这些扩展是否已启用？运行命令 php -m | grep -E "zip|phar|mbstring|xml|json|curl" 查看。如果发现有缺失，需要根据你的 PHP 主版本进行安装。例如，在 PHP 8.3 环境下，需要执行 sudo apt install php8.3-zip php8.3-phar ...（安装前先用 php -v 确认版本）。修改配置后通常不需要重启服务，但要确保命令行 PHP 使用的配置文件（通过 php --ini 查看路径）里，对应的 extension= 行没有被注释掉。

composer global require 的命令找不到？PATH 没配对

运行了 composer global require lara vel/installer 之后，却在终端输入 lara vel 时得到 command not found 的提示？这通常不是 Composer 本身的问题，而是你的系统 Shell 找不到全局安装的二进制文件所在目录。

• Composer 默认会把通过 global require 安装的工具，放在 ~/.composer/vendor/bin/ 目录下，而这个路径并不在 Ubuntu 默认的 $PATH 环境变量里。
• 临时解决方案：在当前终端执行 export PATH="$HOME/.composer/vendor/bin:$PATH"。
• 永久解决方案：将上面这行命令添加到你的 Shell 配置文件里，比如 ~/.bashrc 或 ~/.zshrc（取决于你使用的 Shell）。
• 一个关键提醒：执行 composer global 相关命令时，切记不要在前面加 sudo。否则，工具会被安装到 /root/.composer/vendor/bin/，普通用户自然找不到。

验证是否配置成功：可以执行 echo $PATH 查看输出是否包含上述路径；再运行 which lara vel，应该会返回该命令的完整安装路径。

话说回来，整个安装过程中，最容易被忽略的其实就是文件完整性校验和 PHP 扩展的完备性这两步。很多人看到 composer --version 成功输出就以为万事大吉，结果第一次执行真正的 install 命令时就卡死或报错，回头排查又要绕一大圈，得不偿失。