不推荐禁用 secure-http,因会降低依赖下载安全性。Composer 默认启用 HTTPS 以防止中间人攻击。若特殊环境需用 HTTP,可修改 composer.json 添加 "config": { "secure-http": false } 临时关闭;或全局执行 composer config --global secure-http false(不推荐);建议仅对特定 HTTP 仓库在 repositories 中配置并关闭验证,将风险控制到最小。生产环境必须重新启用 HTTPS,安全重于便利。
如果你在特殊网络环境下(如某些内网镜像或测试环境)必须使用 HTTP 源,可以通过以下方式临时禁用 secure-http 验证。
修改 composer.json 配置
在项目根目录的 composer.json 文件中添加如下配置:
{
"config": {
"secure-http": false
}
}
这样 Composer 将允许通过 HTTP 协议访问仓库。
全局禁用 secure-http(影响所有项目)
运行以下命令修改全局配置:
composer config --global secure-http false
该设置会影响当前用户下所有 Composer 项目的安全性策略,更不推荐使用。
仅对特定仓库关闭 HTTPS 验证
如果只是某个私有仓库使用 HTTP,建议只对该仓库关闭验证:
{
"repositories": [
{
"type": "composer",
"url": "http://your-private-repo.com"
}
],
"config": {
"secure-http": false
}
}
这种方式将影响范围控制在必要最小程度。
完成后执行 composer install 或 composer update 即可继续使用 HTTP 源。
基本上就这些,但请记得:生产环境务必重新启用 HTTPS。安全风险远大于便利性。
