Composer镜像配置文件校验：语法无错只是第一步

先说一个核心事实：composer validate 根本不校验镜像配置文件。这个命令只管 composer.json 的语法和结构，至于你的全局 config.json 或者项目配置里的镜像设置，它碰都不会碰。所以，当你需要验证镜像配置时，工具和方法都得换一套思路。

如何手动验证 config.json 的 JSON 语法？

镜像配置本身是标准 JSON，但 Composer 没有提供专用的校验命令。配置错误通常很隐蔽，往往在执行 composer install 时才暴露，报出类似 Invalid config key "repositories" 的错误，或者更糟——直接静默失效，让你误以为配置成功了。

这时候，一个快速的纯语法检查就非常必要：

• 使用 php -r 命令快速过一遍：
  php -r "$j = file_get_contents('config.json'); $d = json_decode($j); if (!$d) { echo 'JSON error: ' . json_last_error_msg() . "\n"; }"
• 重点排查几个高频雷区：数组末尾多余逗号（尤其是在 repositories 数组最后一项后面）、不小心混入的中文引号或冒号、以及意外粘贴进去的 // 注释。
• 如果报错提示的行列号很诡异（比如“line 1 column 1”），不妨用 xxd config.json | head 查一下，看看文件开头是不是藏了 BOM 头（ef bb bf）或者其他不可见的控制字符。

config 中 repositories 镜像配置的硬性规则

即便 JSON 语法完全合法，事情也还没完。repositories 数组里的每一个镜像对象，都必须满足 Composer 运行时的解析要求，否则 composer install 照样会失败，而 validate 对此依然沉默。

那么，需要满足哪几个硬性条件呢？

• 字段必须齐全：每个仓库对象必须包含 type 和 url 字段，缺一不可。type 的值也必须是白名单内的，比如 composer、package、vcs 等。
• URL 必须规范：url 必须是完整且可访问的地址，并且以 https:// 或 https:// 开头。一个常见的细节错误是，配置 Packagist 镜像时，末尾漏了斜杠，比如写成 https://mirrors.aliyun.com/composer。
• 禁用默认源：如果配置了多个镜像，必须显式禁用 packagist.org，即加上 "packagist.org": false，否则 Composer 仍然会尝试回源。
• 大小写敏感：字段名是大小写敏感的。把 repositories 拼成 repositores（少个 r）或者 repsoitories，配置会被直接忽略，不报错也不生效，非常坑人。

为什么 composer validate --strict 对镜像配置完全无效？

你可能会想，加上 --strict 参数会不会更严格？答案是：依然没用。--strict 参数只作用于 composer.json 的 schema 校验，比如检查 name 的格式、autoload 的结构。而 config.json 以及 composer.json 里的 config 字段，并没有公开的 schema 定义，Composer 内部只做运行时解析。

这意味着：

• 即便你在 composer.json 的 config 里写了一个非法的 repositories 对象，composer validate 也检查不出来。
• 它甚至不校验 config 这个字段本身是否存在——因为在 schema 层面，config 只是一个可选的顶层键。
• 真正能暴露配置问题的，只有实际运行 composer install --dry-run（干跑一遍），或者用 composer show -p 查看是否列出了镜像中的包。

需要警惕的是，在 CI/CD 环境中，config.json 经常通过环境变量或脚本动态注入。一旦中间过程引入了换行符或者未转义的双引号，生成的 JSON 就是非法的。但错误日志往往只会显示“网络超时”或“package not found”，而不是直指问题的“配置解析失败”。因此，一个高效的习惯是：每次修改镜像配置后，先用 php -r 快速检查语法，再执行一次 composer install --dry-run。这比等待 CI 流水线报错要快得多，也确定得多。