composer如何验证包的sha256或sha1校验和

Composer通过校验和验证包完整性，运行install或update时读取composer.lock中的shasum值，下载包后计算实际SHA-1或SHA-256并比对，不匹配则报错终止，确保代码未被篡改。

Composer 本身在安装或更新包时会自动验证包的完整性，包括检查 SHA-256 或 SHA-1 校验和。这些校验信息来自 packagist.org 或你配置的私有仓库，并通过 Composer 的下载过程进行比对。

Composer 如何验证校验和

当你运行 composer install 或 composer update 时，Composer 会：

• 从 composer.lock 文件中读取已锁定的包版本及其 dist 信息（包括 url、type、reference、shasum 等）
• 下载对应的压缩包（zip、tar 等）
• 计算下载文件的实际 SHA-1 或 SHA-256 值
• 与 lock 文件中记录的校验和进行比对
• 如果不匹配，Composer 会中断安装并报错，防止使用被篡改的代码

注意：Composer 默认主要验证的是 SHA-1，但现代版本也支持 SHA-256（如果元数据中提供）。

查看 lock 文件中的校验和

打开你的 composer.lock 文件，找到某个包的条目，你会看到类似内容：

{
    "name": "symfony/polyfill-php80",
    "version": "v1.27.0",
    "source": {
        "type": "git",
        "url": "https://github.com/symfony/polyfill-php80.git",
        "reference": "a74f1821dfede52eb90acb7dd1ea6d831"
    },
    "dist": {
        "type": "zip",
        "url": "https://api.github.com/repos/symfony/polyfill-php80/zipball/a74f1821dfede52eb90acb7dd1ea6d831",
        "reference": "a74f1821dfede52eb90acb7dd1ea6d831",
        "shasum": "e8b2c6c6a7dcbb894bc90db5be1ae1f2133810a"
    }
}

其中 shasum 字段就是该 zip 包的 SHA-1 校验和。Composer 下载后会计算实际 SHA-1 并与这个值对比。

手动验证包的 SHA-256 或 SHA-1

如果你需要手动验证某个包的完整性（比如审计安全），可以这样做：

1. 从 composer.lock 获取 dist 的下载链接
2. 用命令行下载该包
3. 使用系统工具计算哈希值

例如：

新CG儿

数字视觉分享平台 | AE模板_视频素材

412

查看详情

# 下载包
curl -L -o package.zip https://api.github.com/repos/symfony/polyfill-php80/zipball/a74f1821dfede52eb90acb7dd1ea6d831
<h1>计算 SHA-1</h1><p>shasum package.zip</p><h1>输出：e8b2c6c6a7dcbb894bc90db5be1ae1f2133810a  package.zip</h1><h1>计算 SHA-256</h1><p>shasum -a 256 package.zip

将结果与 lock 文件中的 shasum 或仓库提供的 checksums 对比。

启用更严格的校验（推荐）

确保你的 Composer 配置启用了完整性检查：

• 保持 Composer 更新到最新版本（支持更强的校验机制）
• 不要随意禁用 secure-http（避免 HTTP 下载）
• 使用 COMPOSER_DISABLE_NETWORK=1 在离线环境中防止意外下载

Composer 还支持使用 ca-bundle 和 HTTPS 来保证下载源的安全，进一步配合哈希校验形成完整信任链。

基本上就这些。Composer 在背后默默做了很多安全工作，只要你不绕过 lock 文件、不关闭校验，日常使用是安全的。

以上就是composer如何验证包的sha256或sha1校验和的详细内容，更多请关注php中文网其它相关文章！