如何在Composer中实现代码依赖的自动化分发

Composer包自动化分发需发布到Packagist并正确配置composer.json：包名格式为vendor/name且全局唯一；autoload必须严格匹配PSR-4命名空间与目录结构；版本依赖Git tag（如v1.0.0），非composer.json中的version字段；私有包需配置auth.json、repositories及独立autoload。

首先得澄清一个常见的误解：Composer本身并不“分发”代码，它的核心工作是安装和更新依赖。所谓的自动化分发，其本质是让你的代码包能够被其他人通过一句简单的 composer require 命令拉取到。要实现这一步，关键在于将你的包发布到 Packagist（或者你自己的私有仓库），并且确保 composer.json 的配置准确无误，能够被Composer正确识别和自动加载。

packagist.org 是默认分发入口，但必须手动提交

别指望Packagist会自动爬取并发现你的GitHub仓库。这个过程需要你主动出击。你必须前往 https://www.php.cn/link/20a1f94e0e45384e8e08872de5a5e545 提交你的仓库URL。提交之后，Packagist才会去抓取你仓库根目录下的 composer.json 文件，并解析其中的 name、version、autoload 等关键字段。

• 包名格式是硬性规定：必须采用 / 这种格式，例如 tinywan/hello，并且这个名字在全球范围内必须是唯一的。
• 仓库公开性：通常你的代码仓库（如GitHub、GitLab、Gitee）需要是公开的。如果涉及私有仓库，则需要配置私有的Packagist实例或使用类似Artifactory的制品库。
• 版本同步的自动化：每次你通过 git push 推送新的tag后，Packagist理论上可以自动同步。但请注意，这需要在你的代码仓库设置中勾选并配置好“GitHub Service Hook”（或其他平台的类似Webhook）。

autoload 配置错误会导致“安装成功但类找不到”

这是最常踩的坑之一：包明明通过 composer require 安装成功了，可一运行程序就抛出 Class not found 的致命错误。究其根本，十有八九是 autoload 配置段写错了。

• PSR-4映射必须精确对应：配置 "Tinywan\Hello\": "src/" 意味着命名空间 Tinywan\Hello\Foo 对应的类文件必须严格位于 src/Foo.php。路径和命名空间一个字符都不能差。
• 注意末尾的反斜杠：这是一个细节魔鬼。写成 "Tinywan\Hello" ❌ 是错误的，正确的写法是 "Tinywan\Hello\" ✅，末尾的反斜杠代表了命名空间边界。
• files加载方式的路径：如果你使用 files 方式来加载一些全局函数文件，那么路径必须是相对于 composer.json 文件所在目录的，并且这个路径不应该包含 vendor/ 部分。
• 修改后必须刷新：每次改动 autoload 配置后，务必运行 composer dump-autoload 命令来重新生成自动加载文件，这一点在CI/CD自动化流程中尤其容易被遗漏。

版本号打标不规范，下游无法稳定依赖

Composer所遵循的语义化版本控制（例如 ^1.2.3）完全依赖于Git tag。如果你的仓库没有打tag，或者tag的命名不符合规范，那么下游用户就只能依赖 dev-main 这类不稳定的开发分支，这无疑为项目引入了风险。

• Tag格式必须标准：Tag名称必须是像 v1.0.0、1.2.3 这样的标准格式。像 release-1.0 或单纯的 1.0 是无法被Composer正确识别的。
• 推荐使用带注释的Tag：使用 git tag -a v1.0.0 -m "release v1.0.0" 命令来创建附注标签（annotated tag），这是一个好习惯。
• Tag必须推送到远程：只在本地打tag是无效的，必须通过 git push origin v1.0.0 将tag推送到远程仓库。
• 自动化脚本中的遗漏：如果你使用Composer脚本来自动化发布流程，请务必检查脚本的 post-release 部分是否包含了 git push --tags 命令。

私有包分发绕不开认证和仓库配置

如果想让团队内部的成员也能方便地使用 composer require internal/utils 来安装私有包，仅仅把代码放在公司的GitLab上是不够的。还需要额外完成以下三件事：

• 配置认证信息：在项目的根目录下创建一个 auth.json 文件（注意不要提交到版本库），填入GitLab的Personal Access Token。格式大致如下：{"http-basic":{"gitlab.example.com":{"username":"token","password":"xxx"}}。
• 声明私有仓库：在项目的 composer.json 文件的 repositories 段落中，明确声明你的私有仓库地址，并将类型（type）设置为 vcs。
• 包名严格一致：确保私有包自身的 composer.json 里定义的 name 字段，与主项目 require 中写入的名称完全一致，连大小写都不能出错。

最后，也是最容易被忽略的一点：私有包的 autoload 配置必须在它自己的 composer.json 文件中独立定义。父项目不会继承或覆盖这些配置。这个规则其实和公共包一样，但一旦在私有包上配置错误，排查起来往往会更加困难。