composer.json与composer.lock文件有什么关系？（团队协作必知）

composer.json 是项目依赖的声明文件，定义所需包及版本范围；composer.lock 是安装快照，记录实际安装的精确版本与哈希值，二者协同确保环境一致。

composer.json 是你项目的依赖“说明书”，而 composer.lock 是实际安装时的“精确快照”。两者配合，才能保证团队里每个人装的包版本完全一致。

composer.json：声明你要什么

这个文件是你手动维护的，写明项目需要哪些包、允许的版本范围（比如 "monolog/monolog": "^2.0"），还包含 autoload、scripts、require-dev 等配置。它不记录具体安装了哪个子版本，只管“大方向”。

• 开发时修改它：加新包、升级主版本、调整约束条件
• 提交到 Git：所有成员都应基于同一份声明来协作
• 不要手动改 version 字段——那是 lock 文件的事

composer.lock：记录你实际拿到什么

每次运行 composer install 或 composer update 后，Composer 自动更新这个文件，里面存着每个包的确切版本号、完整 hash、依赖树结构，甚至 dist 包的下载地址。它让安装过程可重现。

• CI/CD 和生产环境必须用 composer install（而非 update），靠它还原一模一样的依赖
• 这个文件要提交进 Git，且不能忽略
• 如果 lock 文件存在，composer install 就完全忽略 composer.json 中的版本范围，只按 lock 装

协作中常见问题怎么解

团队里有人删了 lock 文件重装？有人直接改了 json 但没跑 update？这些都会导致环境不一致。

• 新人拉代码后，先检查有没有 composer.lock；有就直接 composer install
• 要升级依赖，用 composer update vendor/package，别手动改 json 后跳过 update
• 合并分支前，留意 lock 文件冲突——优先保留对方的变更，再跑一次 composer update 验证
• 用 composer show --outdated 定期查看哪些包可安全升级

一句话记住关键逻辑

composer.json 是“我想用哪些包”，composer.lock 是“我这次确实装了哪些包”。前者人写，后者机器管；一个管意图，一个保结果。