Composer如何管理项目的静态资源依赖

Composer不管理JS/CSS等静态资源，仅安装PHP包；Bootstrap的CSS留在vendor/中，需通过post-install-cmd脚本复制或前端工具链构建才能进入public/目录。

这里有个常见的误解需要先澄清：Composer 本质上是一个 PHP 包管理器，它的核心任务就是下载和安装 PHP 包。至于项目里用到的 JS、CSS、字体这些静态资源，Composer 本身是“看不见”的，必须通过额外的机制，手动或自动地把它们引入到 public/ 或 dist/ 这类 Web 可访问的目录里。

为什么 composer require 无法直接把 Bootstrap 的 CSS 拷到 public/css

道理其实很简单。Composer 的默认行为，就是把所有依赖的 PHP 类库规规矩矩地放到 vendor/ 目录下，任务就算完成了。它不会去主动读取包里可能存在的 dist/ 或 build/ 目录，更不会执行任何复制、链接或者构建的动作。

所以，即便你成功运行了 composer require twbs/bootstrap，Bootstrap 的 CSS 文件也只会安静地躺在 vendor/twbs/bootstrap/dist/css/bootstrap.min.css 这个路径下。指望它自动出现在你的网站根目录？那是不可能的。

• 所有那些让你感觉资源“自动出现”的魔法，背后都藏着额外配置：要么是用了 composer/installers 这类插件，要么是自定义了 scripts 脚本，再不然就是前端构建工具主动扫描了 vendor/ 目录。
• 包定义里的 type 字段（比如 "type": "library"）在缺乏插件支持时，基本是无效的。即便有插件，社区也缺乏统一约定，导致不同包的行为五花八门。
• 记住一个原则：直接去修改 vendor/ 里的任何文件都是危险操作，下次执行 composer update 时，你的改动就会被无情覆盖。

post-install-cmd 脚本中用 cp 复制 JS/CSS 的实操要点

对于小型项目，或者需要快速集成遗留系统的情况，最轻量、最直接的办法就是在 Composer 脚本里用命令复制文件。这不需要引入额外的前端工具链。

• 脚本钩子选对：必须同时使用 post-install-cmd 和 post-update-cmd 这两个钩子。只靠 post-autoload-dump 是不行的，因为它在触发时，vendor/ 里的包可能还没完全解压到位。
• 路径判断是关键：脚本里一定要先判断路径是否存在，比如 if [ -d "vendor/package-name/dist" ]; then cp -r ...; fi。否则，万一某个包没有提供 dist/ 目录，整个 composer install 流程就会因为脚本错误而中断。
• 跨平台兼容性：在 Linux/macOS 上用 cp -r 没问题，但如果你的 CI 环境是 Windows，就得改用 xcopy 或者启用 WSL，不然构建肯定会失败。
• 清理要谨慎：避免使用 rm -rf public/vendor 这种全量清理命令。这很容易误删掉你自己维护的组件，或者用户上传的静态文件。

来看一个具体的脚本示例：

"scripts": {
  "post-install-cmd": [
    "if [ -d 'vendor/twbs/bootstrap/dist' ]; then mkdir -p public/vendor/bootstrap && cp -r vendor/twbs/bootstrap/dist/* public/vendor/bootstrap/; fi"
  ],
  "post-update-cmd": [
    "if [ -d 'vendor/twbs/bootstrap/dist' ]; then mkdir -p public/vendor/bootstrap && cp -r vendor/twbs/bootstrap/dist/* public/vendor/bootstrap/; fi"
  ]
}

用 npm + post-install-cmd 触发构建才是现代推荐做法

对于现代项目，更专业的做法是把前端资源的管理权交还给 npm、yarn 或 Vite 这些专用工具，让 Composer 只扮演一个调度者的角色。这样做的好处是能充分利用现代前端工具链的能力，比如生成带哈希的文件名、进行 Tree Shaking 优化、生成 Source Map 等，而不是简单地手动搬运原始文件。

• 准备前端配置：确保项目根目录存在 package.json，并且里面定义了 "build" 脚本，例如 "build": "vite build --outDir public/build"。
• Composer 调度构建：在 composer.json"post-install-cmd": ["@php -r \"file_exists('package.json') && system((PHP_OS_FAMILY === 'Windows' ? 'npm.cmd' : 'npm') . ' ci && npm run build');\""]。这里使用 npm ci 能确保依赖版本与 package-lock.json 严格一致。
• 忽略构建产物：前端工具生成的构建产物（比如 public/build/app.a1b2c3d4.js）必须加入到 .gitignore 中，绝对不要提交到版本库。
• 避免版本声明冲突：不要在 composer.json 里通过类似 "npm-asset/jquery" 的方式重复声明前端库的版本，这会导致 npm 和 Composer 两套版本管理策略产生冲突，后患无穷。

最后，需要警惕一个根本性的认知偏差：Composer 对于静态资源，并没有“安装完成”这个概念——它只关心 PHP 包是否已经下载并放置到硬盘上。至于 JS/CSS 文件是否可用、是否最新、是否带有版本哈希，完全取决于你编写的脚本是否健壮、是否考虑了跨平台兼容性、是否做好了错误处理。一旦漏掉了路径判断，或者忽略了 Windows 环境的兼容问题，你的 CI 流水线就可能在最意想不到的时刻突然挂掉，这才是真正容易踩坑的地方。