使用背景

在构建工程中,不可避免的引入多方依赖。从jar包冲突产生结果可大致分为两类:
1.同一个jar包出现了多个不同的版本。应用选择了错误的版本导致jvm加载不到需要的类或者加载了错误版本的类。
2.不同的jar包出现了类路径一致的类,同样的类出现在多个不同的依赖jar里,由于jar加载的先后顺序导致了JVM加载了错误版本的类。
maven-enforcer- plugin能够显式的在maven构建时展现jar包冲突之类的问题。

使用该插件检查是否有 maven直接/传递依赖带来的jar包冲突,在编译打包阶段可以显式构建失败。
允许创建一系列规则强制遵守,包括设定Java版本、设定Maven版本、禁止某些依赖、统一jar包版本、禁止 SNAPSHOT快照等等。maven-enforcer-plugin的enforce目标负责检查规则,它默认绑定到生命周期的validate阶段。当规则遭到破坏的时候,Maven就会报错。
除了标准的规则之外,还可以扩展该插件,编写自己的规则。

maven仲裁机制

针对第一个jar包冲突,maven提供了一套仲裁机制来决定使用哪个版本。有以下原则:
1.按照依赖管理元素中指定的版本。此时下面两个原则无效。
2.路径最短原则
若是没有版本申明,按照路径最短原则,即选择依赖树中最短的路径。
1)加载该jar包的类加载器在jvm类加载器树结构中所处的层级。
由于jvm的双亲委派机制,层级越高的类加载器越先加载其加载路径下的类。
即:bootstrap ClassLoader最先加载,其次是extension ClassLoader,最后是system ClassLoader。
2)文档系统的文档加载顺序。tomcat等容器的classLoader获取加载路径下的文档列表时不排序,依赖于底层的文档系统返回顺序。当不同环境之间的文档系统不一致时,就会出现有的环境没问题,有的环境有冲突。
比如:测试和线上环境不一致导致的问题。

最先声明原则

若路径长短一致,则按照第一声明原则进行仲裁,即选择pom文件中最先声明的版本。

使用说明

• 在最终打包运行的应用模块pom.xml文件中引入maven-enforcer-plugin依赖,模板可参考下方通用模板。
• 运行命令 mvn validate 进行校验,编译、打包命令也会触发校验
• 关闭校验 执行命令加入 -Denforcer.skip=true,如:mvn clean validate -Denforcer.skip=true

通用模板

对于具有parent pom 的多模块应用,在应用模块的pom.xml中引入依赖。

<build>
    <plugins>
        <plugin>
            <groupId>org.apache.maven.plugins</groupId>
            <artifactId>maven-enforcer-plugin</artifactId>
            <version>1.4.1</version>
            <executions>
                <execution>
                    <id>enforce</id>
                    <configuration>
                        <rules>
                            <dependencyConvergence/>
                        </rules>
                    </configuration>
                    <goals>
                        <!--执行的命令-->
                        <goal>enforce</goal>
                    </goals>
                    <!--执行的阶段-->
                    <phase>validate</phase>
                </execution>
                <execution>
                    <id>enforce-ban-duplicate-classes</id>
                    <goals>
                        <goal>enforce</goal>
                    </goals>
                    <configuration>
                        <!--规则-->
                        <rules>
                            <!--banDuplicateClasses规则 校验第二种jar包冲突(不同的jar包出现了类路径一致的类)-->
                            <banDuplicateClasses>
                                <!--忽略校验的路径-->
                                <ignoreClasses>
                                    <ignoreClass>javax.*</ignoreClass>
                                    <ignoreClass>org.junit.*</ignoreClass>
                                    <ignoreClass>net.sf.cglib.*</ignoreClass>
                                    <ignoreClass>org.apache.commons.logging.*</ignoreClass>
                                    <ignoreClass>org.springframework.remoting.rmi.RmiInvocationHandler</ignoreClass>
                                </ignoreClasses>
                                <findAllDuplicates>true</findAllDuplicates>
                            </banDuplicateClasses>
                            <!--dependencyConvergence 校验第一种jar包冲突(同一个jar包出现了多个不同的版本)-->
                            <dependencyConvergence/>
                        </rules>
                        <fail>false</fail>
                    </configuration>
                </execution>
            </executions>
            <dependencies>
                <dependency>
                    <groupId>org.codehaus.mojo</groupId>
                    <artifactId>extra-enforcer-rules</artifactId>
                    <version>1.0-beta-6</version>
                </dependency>
            </dependencies>
        </plugin>
    </plugins>
</build>

更多详细规则说明参见官网:maven官网

冲突解决

  1. 使用exclude将明确不需要的jar进行排除
  2. 推荐使用dependencyMangment来管理依赖项,统一项目范围内的依赖版本。
    如moduleA和moduleB共同依赖X这个依赖的话,那么可以将X抽取出来,放在父pom中同时设置其版本号,子pom不需声明版本号,直接引用的是父pom中的版本。这样X依赖在升级的时候,不需要分别对moduleA和moduleB模块中的依赖X进行升级,避免太多地方(moduleC、moduleD…)引用X依赖的时候忘记升级造成jar包冲突。

第一种jar冲突报错信息:
测试运行 maven validate,enforcer报错信息如下:

Dependency convergence error for org.slf4j:slf4j-api:1.7.12 paths to dependency are:
+-com.cainiao:boyan-native-test:0.0.1-SNAPSHOT
  +-com.aliyun.opensearch:aliyun-sdk-opensearch:3.1.3
    +-org.slf4j:slf4j-api:1.7.12
and
+-com.cainiao:boyan-native-test:0.0.1-SNAPSHOT
  +-org.springframework.boot:spring-boot-starter:2.2.5.RELEASE
    +-org.springframework.boot:spring-boot-starter-logging:2.2.5.RELEASE
      +-ch.qos.logback:logback-classic:1.2.3
        +-org.slf4j:slf4j-api:1.7.12
and
+-com.cainiao:boyan-native-test:0.0.1-SNAPSHOT
  +-org.springframework.boot:spring-boot-starter:2.2.5.RELEASE
    +-org.springframework.boot:spring-boot-starter-logging:2.2.5.RELEASE
      +-org.apache.logging.log4j:log4j-to-slf4j:2.12.1
        +-org.slf4j:slf4j-api:1.7.25
and
+-com.cainiao:boyan-native-test:0.0.1-SNAPSHOT
  +-org.springframework.boot:spring-boot-starter:2.2.5.RELEASE
    +-org.springframework.boot:spring-boot-starter-logging:2.2.5.RELEASE
      +-org.slf4j:jul-to-slf4j:1.7.30
        +-org.slf4j:slf4j-api:1.7.30

可以看到org.slf4j:slf4j-api的jar引入了多个,并且版本还不一致。这时需要将明确不需要的jar进行排除。

排除时可以借助maven helper插件,在pom.xml文件的Dependency Analyzer中会显示所有jar包冲突。

如图,右键点击exclude即可排除,等同于手动添加exclude操作。

Java jar冲突 jar包冲突_jvm


排除后依赖显示如下:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter</artifactId>
    <version>2.2.5.RELEASE</version>
    <exclusions>
        <exclusion>
            <artifactId>slf4j-api</artifactId>
            <groupId>org.slf4j</groupId>
        </exclusion>
    </exclusions>
</dependency>

第二种jar包冲突报错信息:

Java jar冲突 jar包冲突_java_02