直接调用 Packagist API 可获取完整包元数据,需使用 https://packagist.org/packages/{vendor}/{package}.json 地址、设置 User-Agent 头并遵守每小时1000次限流;搜索接口 /search.json 仅返回简略列表,不适用于精确查询;单包接口才包含版本、依赖、autoload 等关键字段;包名大小写敏感;API 返回的 versions 非语义化排序,需自行处理。
直接调用 Packagist API 获取包信息是可行的,但需注意它不提供官方 SDK,所有请求都走 HTTP + JSON
Packagist 的公开 API 是只读的、无需认证的 REST 接口,地址统一为 https://packagist.org/packages/{vendor}/{package}.json。比如查 monolog/monolog 就访问 https://packagist.org/packages/monolog/monolog.json。返回的是完整元数据,含版本列表、autoload 配置、依赖关系、发布时间等 —— 这比 composer show 本地命令更底层,也更灵活。
用 curl 或 PHP file_get_contents 调用最简单,但要注意 User-Agent 和限流
Packagist 明确要求客户端设置 User-Agent 头,否则可能返回 403;同时每 IP 每小时最多 1000 次请求,高频调用需加缓存或退避。不推荐在生产循环里无节制请求。
- 用
curl查包:curl -H "User-Agent: MyApp/1.0" https://packagist.org/packages/doctrine/orm.json | jq '.package.versions["dev-main"]'
- PHP 中获取(带错误处理):
$url = 'https://packagist.org/packages/laravel/framework.json'; $options = ['http' => ['header' => "User-Agent: MyApp/1.0\r\n"]]; $content = file_get_contents($url, false, stream_context_create($options)); $data = json_decode($content, true); if (json_last_error() !== JSON_ERROR_NONE || !isset($data['package'])) { throw new RuntimeException('Invalid or unreachable Packagist response'); }
不要依赖 /search.json 做精确匹配,它只支持前缀模糊搜索且结果不包含完整版本信息
https://packagist.org/search.json?q=laravel 返回的是简略列表(只有 name、description、abandoned 状态),没有版本详情、require 字段或 autoload 规则。想确认某个具体包是否存在、有哪些稳定版、是否已废弃,必须走 /packages/{vendor}/{name}.json 单包接口。
- 搜索接口返回字段极简:
{"results":[{"name":"laravel/framework","description":"The Laravel Framework."}]} - 单包接口才含关键字段:
$data['package']['versions']['v10.48.5']['require']['php']可拿到 PHP 版本约束 - 包名大小写敏感,
laravel/framework✅,Laravel/Framework❌
Composer 命令本身不暴露 API 调用能力,但可通过 --no-interaction + --dry-run 组合间接验证包可用性
composer show 和 composer require 底层确实会查 Packagist,但它们不输出原始 API 响应,也不允许你拦截或复用这些请求。若只是想“检查某包是否存在且可安装”,可以用:
composer show monolog/monolog --no-interaction 2>/dev/null && echo "exists" || echo "not found"
但这本质是黑盒行为,无法获取版本时间线或 license 类型等字段。真要结构化数据,绕不开直接调 API。
真正容易被忽略的是:Packagist API 返回的 versions 是按版本字符串倒序排列的,但不是严格语义化排序(比如 v2.0.0-alpha 可能排在 v1.25.0 后面),需要自己用 version_compare() 或 usort() 处理。别直接取第一个当最新稳定版。
