必须用 composer require 安装模块，手动复制、后台启用或 drush pm:enable 均不可替代；装不上时需检查三件事：是否在项目根目录、drupal/core 版本是否与模块兼容、是否用 composer why-not 查阻断包，严禁删 composer.lock。

在Drupal项目中，使用 composer require 来安装模块是唯一正确的路径。任何试图走捷径的方式——比如手动复制文件、在后台启用，或者用 drush pm:enable——都替代不了它。为什么？因为这些方法绕过了Composer的依赖解析和自动加载机制，直接后果就是自动加载失败、后续升级崩盘，以及CI/CD构建环境的不一致。可以说，这是现代Drupal开发的铁律。

为什么 composer require drupal/foo 装不上？查这三件事

命令敲对了却装不上，问题往往不在语法，而是被环境或配置给“卡”住了。这时候，别急着怀疑人生，按照下面三个方向排查，十有八九能找到症结。

• 确认工作目录：首先，确保你当前所在的目录是项目的根目录，也就是包含 composer.json 和 vendor/ 文件夹的那个位置。千万别跑到 web/ 或者 modules/ 子目录里去执行命令。
• 核对核心版本：打开 composer.json，看看 drupal/core 的版本是否被锁定了。比如，你的项目还停留在 "drupal/core": "^9.5"，而你想装的模块却要求 ^10.0 或更高版本。这时Composer就会报出类似 Conclusion: don't install drupal/foo x.x 的错误，明确告诉你版本不兼容。
• 排查依赖冲突：如果版本看起来没问题，那就运行 composer why-not drupal/core:10.1.0 这个命令。它能帮你揪出具体是哪个包在阻止核心升级。切记，不要直接删除 composer.lock 文件，这虽然可能暂时“解决”问题，但会彻底破坏项目依赖的可重现性，后患无穷。

举个典型的例子：你想安装 drupal/config_ignore 模块却失败了，很可能是因为它要求 drupal/core >= 10.0.0，而你的项目还在9.5.x版本。正确的解决步骤是，先升级核心：composer require drupal/core-recommended:^10.1.0 --update-with-dependencies，然后再安装目标模块。

composer remove drupal/foo 之后模块还在？顺序错了

这里有个关键概念需要厘清：Composer只管代码和依赖的物理存在，不负责Drupal运行时的状态管理。因此，彻底卸载一个模块，必须遵循一个严格的“两步走”顺序，缺一不可：

• 第一步：在Drupal内卸载。先在Drupal后台禁用并彻底卸载该模块，或者使用 drush pm:uninstall foo 命令。这一步的目的是清除模块在数据库中的配置和表结构。
• 第二步：用Composer移除代码。然后，再执行 composer remove drupal/foo。这一步会从 composer.json 中移除依赖项，更新 composer.lock，并删除 web/modules/contrib/foo 目录下的代码。

如果把顺序搞反了（先remove再卸载），就会留下“烂摊子”：残留的配置会导致 drush cr 缓存重建失败，甚至可能引发页面白屏。如果不幸已经操作错了，补救办法是：先手动在后台完成卸载流程，然后执行 composer install 把模块代码拉回来，最后再严格按照正确的顺序重新操作一遍。

主题和第三方库怎么装？路径和类型要显式声明

安装主题和其依赖的前端库，比安装模块要稍微复杂一点。如果只是简单地运行 composer require drupal/bootstrap，很多主题（比如Bootstrap、Zurb Foundation）所依赖的CSS/JS前端资产，默认并不会被放到 web/libraries/ 这个Drupal能识别的目录里。

• 安装主题本身：composer require drupal/bootstrap:4.2.0。这会把主题代码安装到 web/themes/contrib/bootstrap。
• 处理前端库依赖：你可能还需要安装配套的库，例如 composer require bower-asset/bootstrap-sass:^3.4。但光这样还不够，通常需要配合 oomphinc/composer-installers-extender 这类插件，并在 composer.json 中配置 installer-paths，否则这些库文件会散落在 vendor/ 目录深处，主题根本找不到。
• 关键配置：必须在 composer.json 的 extra 部分添加类似下面的配置段：

"extra": {
  "installer-types": ["bower-asset", "npm-asset"],
  "installer-paths": {
    "web/libraries/{$name}": ["type:drupal-library"],
    "web/libraries/bootstrap": ["bower-asset/bootstrap-sass"]
  }
}

如果漏掉了 installer-types 声明，或者路径映射配置错误，那么 composer install 就不会把库文件放到预期的 web/libraries/ 下。结果就是，主题启用后立刻报出“library not found”错误。

部署时 vendor/ 该不该提交？Git 忽略它是铁律

关于 vendor/ 目录的处理，原则非常清晰：把它和 node_modules/ 一样对待，坚决列入 .gitignore，不要提交到版本库。生产环境应该通过执行 composer install --no-dev --optimize-autoloader 来重建依赖，而不是从Git仓库里同步。

• 为什么不提交 vendor/？提交它会迅速导致代码仓库变得异常臃肿，版本对比（diff）难以阅读，还可能触发安全扫描工具的大量误报。
• 什么必须提交？ 恰恰相反，composer.lock 文件必须提交。它锁定了所有依赖包的确切版本，是保证开发、测试、生产三个环境完全一致性的“合同”。不提交它，才是灾难的开始。
• CI/CD流程集成：在自动化流程中，建议加入 composer validate 来校验JSON格式，以及 composer outdated --direct 来检查直接依赖是否有可用的更新。

最后提一个容易被忽略的安全要点：虽然Composer不直接管这个，但务必确保你的Web服务器文档根目录指向的是 web/ 文件夹，并且 composer.json、composer.lock、vendor/ 这些敏感目录绝对不能被HTTP公开访问。一旦暴露，就相当于把项目的完整依赖图谱拱手送人。