Composer项目的最优组织结构建议

项目结构优化核心是清晰表达意图：composer.json须置于根目录，vendor/不得污染源码，autoload需与路径/命名空间严格对齐，前端资源应与PHP依赖物理隔离。

聊到项目结构，一个常见的误区是认为“目录层次越深，设计就越精妙”。其实不然。结构优化的核心目标非常明确：要让composer.json这个“项目说明书”能清晰表达意图，让vendor/目录安分守己不污染源码仓库，让自动加载机制直来直去不绕弯子，最终在部署时，能精准、无脑地剔除所有无关内容。

composer.json 必须放在项目根目录，且不能嵌套

这里有个铁律：Composer只认当前工作目录下的composer.json文件。它既不会向上查找父目录，也不支持在子目录里放置多个composer.json来实现所谓的“分模块管理”。一旦你把它错误地放进src/或app/子目录，运行composer install时，要么直接报错，要么会生成一个路径错误的vendor/目录，后续麻烦无穷。

• 所有Composer命令，包括install、update、dump-autoload，都必须在composer.json所在的目录执行。
• 如果项目是一个库（library），那么根目录下通常包含composer.json、src/、tests/和README.md。但切记，库本身不安装运行时依赖，所以根目录下绝不能出现vendor/目录，依赖由使用者来安装。
• 如果项目是一个应用（application），根目录下则可能有public/（Web入口）、config/、bin/等目录。此时，vendor/目录必须与composer.json同级生成，并且务必将其排除在Git版本控制之外。

autoload 配置要匹配实际目录结构，别硬套 PSR-4 模板

配置PSR-4自动加载映射，可不是“写对了就行”那么简单。它要求文件系统的实际路径、composer.json中的映射前缀、以及类文件内部声明的命名空间，三者必须严丝合缝地对齐。最常见的错误，就是改了目录名却忘了同步更新composer.json里的"psr-4"值，或者类文件里写的namespace和映射前缀根本对不上。

• 举个例子：假设你的目录结构是src/Http/Controllers/，类文件里声明的是namespace App\Http\Controllers;。那么，composer.json里就必须这样写：

  "autoload": {
    "psr-4": {
      "App\\": "src/"
    }
  }

• 另外，src/目录下最好不要混放属于不同命名空间的类文件，否则自动加载器很可能找不到目标类，或者错误加载。
• 开发阶段可以使用composer dump-autoload -o来生成优化后的类映射表，提升性能。但在上线之前，务必确认这个优化操作（-o参数）不会漏掉那些通过动态方式注册的类，比如某些测试工具依赖的反射类。

vendor/ 目录必须被 .gitignore 排除，但 composer.lock 不能丢

必须明确一个概念：vendor/目录是构建产物，而非项目源码。它的具体内容完全由composer.lock文件精确锁定。如果把vendor/提交到代码仓库，只会制造无谓的合并冲突、急剧增大仓库体积，并且会误导新成员，让他们以为“修改vendor/里的文件也算代码变更”。

• 因此，.gitignore文件中必须包含以下规则：

  /vendor/
  !composer.lock

• 在CI/CD持续集成流水线中，安装依赖的命令必须是composer install --no-dev --optimize-autoloader。切忌使用composer update，因为后者会更新依赖版本并重写composer.lock文件，破坏不同环境之间的一致性。
• 这里有个区别：如果项目是库（library），composer.lock文件可以不提交（因为库本身不直接运行）。但如果是应用项目（比如典型的Lara vel或Symfony项目），composer.lock就是必须提交的“强制项”，否则在不同机器上执行composer install，可能会得到不同的依赖版本，导致应用行为不一致。

前端资源不要塞进 vendor/，用 scripts 钩子桥接 npm/yarn

现代项目通常遵循“各司其职”的原则：Composer管理PHP依赖，npm或yarn管理前端资源（JS/CSS）。过去那种通过fxp/composer-asset-plugin或自定义安装器，强行把前端包下载到vendor/目录的做法，已被主流社区弃用。因为它会导致版本管理混乱、构建过程不可控，甚至引发安全扫描工具的误报。

• 正确的做法是物理隔离：前端源码统一放在resources/目录，构建后的输出文件则放入public/build/目录，与PHP的vendor/目录彻底分开。
• 两者之间的协作，可以通过composer.json中的"scripts"钩子来优雅桥接。例如：

  "post-install-cmd": [
    "@php -r \"file_exists('package.json') && system('npm ci && npm run build');\""
  ],
  "post-update-cmd": [
    "@php -r \"file_exists('package.json') && system('npm ci && npm run build');\""
  ]

• 注意一个细节：钩子中建议使用npm ci，而不是npm install。npm ci会严格依据package-lock.json文件进行安装，能确保不同环境下的node_modules内容完全一致，避免意外差异。

说到底，设计一个清晰的项目结构本身并不算难。真正的挑战，往往隐藏在日常的细微操作中：每次引入新包、更换框架或升级PHP版本时，你是否能一眼看出自动加载的映射关系是否依然有效？在构建生产环境时，开发依赖有没有被--no-dev参数正确过滤？前端构建的脚本钩子是否被意外跳过？这些细节，才是决定项目长期可维护性的关键，而它们通常不会写在文档的最显眼处。