Composer如何配置插件白名单_Composer插件白名单配置指南

Composer 2.2+ 默认禁用第三方插件以提升安全性，需在项目 composer.json 的 config.allow-plugins 中显式声明白名单

简单来说，从 Composer 2.2 版本开始，所有第三方插件默认都被“关在门外”了。你必须在自己项目的 composer.json 文件里，通过 config.allow-plugins 字段，亲手为信任的插件开一张“通行证”。这里有个关键细节：白名单的键名必须和插件包 composer.json 里 name 字段的值一字不差（比如 "phpstan/extension-installer": true），而且这个配置不支持放在全局设置里，只认项目本身的配置。

为什么 composer install 会跳过插件或报 Plugin installation failed

如果你发现插件没加载、composer dump-autoload 命令好像没起作用，或者像 phpstan/extension-installer 这样的包提示“未安装”，先别急着怀疑是 bug。这很可能是因为你撞上了 Composer 2.2 版本引入的一项安全升级策略：默认禁止所有第三方插件自动运行。

这个设计的初衷很明确，就是为了防止恶意代码通过依赖链悄悄潜入并执行。所以，当你遇到插件相关的问题时，第一个要检查的，就是白名单配置好了没有。

如何在 composer.json 中声明插件白名单

配置的位置是固定的，必须在项目根目录的 composer.json 文件顶层，添加 config.allow-plugins 字段。这里要划个重点：不支持在全局配置（比如 ~/.composer/config.json）里设置，它只认当前项目的这份配置。

具体怎么配，通常有三种思路：

• 允许全部插件（不推荐）："config": { "allow-plugins": true }。这是一键放行，虽然省事，但背离了安全策略的初衷，一般不建议。
• 只允许可信插件（推荐）："config": { "allow-plugins": { "phpstan/extension-installer": true, "dealerdirect/phpcodesniffer-composer-installer": true } }。这是最稳妥的方式，明确列出你确实需要且信任的插件。
• 禁止特定插件（谨慎使用）：你也可以将某个插件设为 false，例如 "phpunit/phpunit": false。这会产生一个强力的效果：即使插件自身声明了 extra.plugin 配置，也会被覆盖并禁止。

另外，务必注意两个技术细节：一是键名必须与插件包的 name 字段完全一致（包括 vendor 名），且大小写敏感；二是只有设为 true 才代表允许，false 或者压根没列进去，都意味着拒绝。

哪些插件名容易填错

配置白名单时，键名填错是最高发的“事故”。常见的错误包括：漏掉了 vendor 前缀（比如写成 "extension-installer" 而不是正确的 "phpstan/extension-installer"）、把类名当成了包名（例如误用 Composer\Installers），或者复制了 require 字段里的包别名（例如 "phpcs" 并不是插件 dealerdirect/phpcodesniffer-composer-installer 的本名）。

要找到插件百分之百准确的名字，唯一可靠的方法是去该插件自己的 composer.json 文件里查看 "name" 字段。这里也列举几个常用插件的正确名称供参考：

• phpstan/extension-installer：用于自动加载 PHPStan 扩展。
• dealerdirect/phpcodesniffer-composer-installer：用于自动注册 PHPCS 代码规范规则。
• hirak/prestissimo：这个插件已经废弃了，因为新版 Composer 已经内置了并行下载功能，不需要再额外配置。

当然，还有一个更直接的命令可以帮你验证：运行 composer show --plugins，它会列出当前所有已加载的插件及其完整的包名，这是最权威的参考来源。

CI/CD 环境和团队协作要注意什么

当项目进入持续集成和团队协作阶段时，关于白名单还有几个容易踩的坑需要留意。

首先，白名单配置不会被记录在 composer.lock 文件里。这意味着，每次执行 composer install 时，Composer 都会重新读取 composer.json 中的 allow-plugins 设置。这个机制会引发以下几种典型情况：

• CI 流水线突然失败？ 检查一下是否使用了过时的 Composer 版本（比如还是 2.1），或者环境变量 COMPOSER_VERSION 设置为了 2.5.8 等。
• 团队成员本地运行结果不一致？ 需要确认是否有人修改了全局配置，或者在执行命令时额外加了 --no-plugins 参数。
• 依赖包自己带了插件怎么办？ 有些包（比如某些 Lara vel 扩展包）自身就包含插件。你必须把这些插件的 name 也显式地加入白名单，别指望它能“自动生效”。

还有一个极易被忽略的场景：在子模块或者 monorepo 项目中，每个子项目都必须单独配置自己的白名单。父级目录的 composer.json 配置对子目录是无效的，这一点需要特别注意。