Как использовать менеджеры пакетов? Composer, bower, другое?

Question

[tushev]

Я хочу сделать opensource проект, предназначенный для встраивания в другие проекты. Если конкретно, то это некий редактор баз данных с множеством форм и вкладок, предназначенный для внедрения внутрь всяких админок и cms. Проект содержит как PHP код, так и JavaScript+CSS+Картинки. Кроме того у проекта много зависимостей от сторонних библиотек, как PHP (например PHPMailer) так и JavaScript (например jQueryUI).
Как правильно и оптимально воспользоваться пакетными менеджерами для такой задачи?
Composer все кладет в папки /vendor, и PHP и JavaScript. Мне кажется это не правильно, т.к. есть риск что PHP файлы станут публично доступными через веб-сервер. Раскладывать внутри папки vendor много файлов .htaccess тоже как то не эстетично.
Другой вариант который я вижу это пользоваться отдельно Composer для PHP, и отдельно Bower для остального. Но это как то не удобно. Придется параллельно пользоваться двумя разными менеджерами пакетов.
Плюс хочется, чтобы другие разработчики могли установить мой компонент в свой проект максимально просто. Тогда вопрос, где размещать PHP и JS файлы собственно моего проекта? В /vendor и /bower_components?
Мой вопрос, как это все организовать правильно, красиво и удобно?

Answer 1

[Vitaliy Orlov]

Что-то ты запутался:
* composer - это штука для управления зависимостями бэкэнда
* bower - это штука для управления зависимостями фронтенда

ключевые слова тут "управление зависимостями"

Ты же беспокоишься, что в итоге у тебя будет торчать наружу. Так вот, не /vendor не /bower_components не должны быть доступны. Доступной у тебя должна быть одна директория - public_html в которой у тебя будет index.php и папка assets в которую и будет собираться вся media (css, js, картинки и т.д.). Как это организовать уже второй вопрос, на который тебе ответит гугл по запросу "сборщик проектов".

И теперь по порядку:
1) пользоваться отдельно Composer для PHP, и отдельно Bower
да

2) Придется параллельно пользоваться двумя разными менеджерами пакетов
да

3) Тогда вопрос, где размещать PHP и JS файлы собственно моего проекта? В /vendor и /bower_components?
да, используй папки по умолчанию

4) как это все организовать правильно, красиво и удобно?
/ .. framework_dirs ..
/vendor
/bower_components
/public_html
+ assets/..
+ index.php

** По поводу bower, все что он генерит, многие кладут сразу в public_html, но т.к. у него нет возможности удалять лишние (например из всего пакета jquery оставить только 1 файл jquery.js), то я считаю, что полную папку лучше прятать и деплоить исключительно то, что нужно.

Comments

[tushev]

То есть index.php подключает php файлы через require '../vendor/SomeComponent/SomeFile.php' или через аналогичный автолоадер. А в директорию assets мы копируем руками (или сборщиком) только то, что нам надо из директории /bower_components. При этом содержимое директории /bower_components лежит в проекте мертвым грузом, на всякий случай. Я правильно понял?

[Vitaliy Orlov]

tushev: да, правильно: все что в vendor подключается автолоадером composer-а, если есть какие-то кастомные вещи, например, у тебя своя структура загрузки моделей, то просто добавляешь еще один автолоадер, который может загружать эти зависимости. В идеале, у тебя одна точка входа - index.php, внутри него подключаются автолоадеры, конфигурируется и запускается фреймворк. Все остальные файлы, лежат вне веб-директории. Что касается bower_components, то есть три варианта:
1) ложить все напрямую в папку веб, но тогда там оказывается куча всякого мусора: readme, license, не минифицированные версии и т.д.
2) ложить все напрямую в папку веб и удалять "сборщиком проекта" все ненужное, после апдейта компонентов. Но, тут при изменениях в компоненте, надо будет следить за новыми файлами.
3) ложить все в папку не доступную из веб, и копировать только те файлы которые нужны, тем же сборщиком проектов.

Мы используем 3ий вариант, bower_components лежит вне веб-директории.

[alexaandrovp]

Спасибо, добрый человек, за развернутый ответ!

Answer 2

[Сергей Протько]

Как правильно и оптимально воспользоваться пакетными менеджерами для такой задачи?

никак, предоставляйте независимое приложение в виде готовых билдов (собранные tar.gz со всеми зависимостями, deb пакеты, docker-контейнеры).

основная мысль - ваш этот "встраиваемый компонент" на самом деле полноценное приложения, версии зависимостей которого вполне могут конфликтовать с проектом, в который оно будет интегрироваться. Что бы уменьшить количество проблем ваше приложение/модуль/компонент должно быть изолировано от основного приложения и просто предоставлять средства для взаимодействия. Исходя из задачи вам подойдет http api например.

Comments

[tushev]

Так у меня будет не независимое приложение, а компонент для встраивания в чужие проекты. Многие компонеты, такие как jquery или PHPMailer с большой вероятностью там уже будут. Получиться что в итоговом проекте будет две копии одного и того же.

[Сергей Протько]

tushev: ну как вам сказать, а если версии будут различаться? Тогда у вас уже будут проблемы.

Насколько я понял у вас встраиваемое приложение. Пусть оно будет независимым, возможно с каким-то API для взаимодействия (http api) и тогда нет никаких проблем. Почти все так делают, это самый гибкий подход который разом устраняет кучу проблем в плане поддержки и дистрибьюции/интеграции решений.

Answer 3

[yalex1442]

Запилить git bash-инсталлер(он же updater) который из входных параметров (директория для установки и т.п)сделают всю работу

upd : гугл показал это
google https://github.com/francoispluchino/composer-asset...

есть риск что PHP файлы станут публично доступными через веб-сервер

Лучше повесить обработку через php интерпритатор web сервером , только ограниченное число файлов. По поводу папки vendor в них не рекомендуют хранить какие либо конфиги, не страшно если они пападут в вывод web сервера в виде исходного кода, тем более если копии лежат открыто в открытых репах

Comments

[tushev]

Я переживаю не о том, что файлы скачают, а о том что хакеры смогут как попытаться исполнить php файл.

[yalex1442]

tushev: Самое лучшее средство от такого:
все php файлы запрещены и разрешены только из некоторого списка

Answer 4

[Николай Антонов]

Так значит по порядку:
1) заходите в менеджер пакетов apt-get и устанавливаете node.js
2) далее с пакетного менеджера npm, что идет с нодой устанавливаете bower
3) если планируете использовать sass через compass то с помощью пакетного менеджера apt-get устанавливаете ruby с которым в коробке идет пакетный менеджер gem
4) c пакетного менеджера gem устанавливаете sass и compass
5) для того, чтоб скачать jquery плагины используйте пакетный менеджер bower
6) и на последок для php используйте пакетный менеджер composer