ssh Agent Forwarding允许远程服务器通过本地SSH密钥认证访问私有git仓库。使用ssh -A或配置~/.ssh/config启用转发,确保$SSH_AUTH_SOCK存在且ssh-add -l显示密钥。composer需配置repositories为SSH地址(git@github.com:…),并在可信环境中运行composer install –prefer-source完成私有包拉取。
在使用 Composer 访问私有 Git 仓库时,如果希望避免重复输入 SSH 密钥或在 CI/CD 环境中安全地拉取代码,可以利用 SSH agent forwarding。这种方式允许你通过跳板机(如部署服务器)访问目标 Git 服务器(如 GitHub、gitlab 私有仓库),而无需将私钥存储在远程服务器上。
什么是 SSH Agent Forwarding
SSH agent forwarding 允许远程服务器使用你本地机器上的 SSH agent 来进行身份验证。当你通过 SSH 登录到中间服务器并从该服务器克隆私有 Git 仓库时,请求会通过加密通道转发回你的本地机器,由本地的 SSH key 完成认证。
启用 SSH Agent Forwarding
确保你在连接远程服务器时启用了 agent forwarding:
- 使用 -A 参数连接服务器:
ssh -A user@your-server.com - 如果你使用别名或配置文件,可在 ~/.ssh/config 中添加:
Host your-server
HostName your-server.com
User user
ForwardAgent yes
确认 Agent 转发生效
登录到远程服务器后,检查 agent 是否已正确转发:
- 运行:echo $SSH_AUTH_SOCK —— 应该输出类似 /tmp/ssh-XXXX/agent.XXXX
- 执行:ssh-add -l —— 可查看当前可用的转发密钥列表
配置 Composer 使用 SSH 克隆私有包
{ “repositories”: [ { “type”: “vcs”, “url”: “git@github.com:your-company/your-private-package.git” } ], “require”: { “your-company/your-private-package”: “^1.0” } }
关键点:
- URL 必须是 SSH 格式(git@…),不能是 https
- 确保本地已将对应公钥添加到 Git 服务(GitHub/GitLab 等)的部署密钥或用户账户中
测试 Composer 安装
在远程服务器上运行:
composer install –prefer-source
如果一切正常,Composer 将通过 SSH 拉取私有仓库代码,而不会提示认证失败。
安全注意事项
虽然 agent forwarding 很方便,但也存在风险:一旦攻击者进入中间服务器,可能滥用你的转发 agent。建议:
- 仅在可信服务器上启用 ForwardAgent
- 考虑使用临时密钥或 deploy key 替代个人密钥转发
- 定期清理 SSH agent 缓存:ssh-add -D
基本上就这些。只要本地 SSH agent 已加载密钥,远程连接开启了 forwarding,并且 Composer 配置的是 SSH 地址,就能顺利拉取私有包。