java - EclipseLink 2.7.0 和 JPA API 2.2.0 - 签名不匹配

Question

运行由具有以下依赖项的 maven 构建的项目时:

        <dependency>
            <groupId>org.eclipse.persistence</groupId>
            <artifactId>javax.persistence</artifactId>
            <version>2.2.0</version>
        </dependency>

        <dependency>
            <groupId>org.eclipse.persistence</groupId>
            <artifactId>eclipselink</artifactId>
            <version>2.7.0</version>
        </dependency>

我在运行时遇到以下错误:

java.lang.SecurityException: class "javax.persistence.Cacheable"'s signer information does not match signer information of other classes in the same package

javax.persistence-2.2.0 工件已签名并包含 javax.persistence.Cacheable.class 注释，而 eclipselink-2.7.0 工件未已签名且还包含相同的 java类注释。

如何解决这个问题？

编辑

用版本 2.1.1 替换 javax.persistence 工件版本 2.2.0 解决了问题(这个没有签名)，但我不确定这是正常情况。

Answer 1

谢谢 Stéphane - 您问题末尾的编辑帮助我“解决”了同样的问题。对于其他也遇到此问题的人 - 这是一个扩展的答案。这是您需要“修复”pom 中的内容(直到 Eclipse 正确修复内容):

<!-- See https://stackoverflow.com/q/45870753 -->
<dependency>   
    <groupId>org.eclipse.persistence</groupId>
    <artifactId>eclipselink</artifactId>
    <version>2.7.0</version>
    <exclusions>
        <exclusion>
            <groupId>org.eclipse.persistence</groupId>
            <artifactId>javax.persistence</artifactId>
        </exclusion>
    </exclusions>
</dependency>
<dependency>
    <groupId>org.eclipse.persistence</groupId>
    <artifactId>javax.persistence</artifactId>
    <version>2.1.1</version>
</dependency>

这会引入 eclipselink但不包括 javax.persistence它尝试引入并用早期版本的 javax.persistence 替换它的依赖项没有签名问题。

旁白:javax.persistence版本 2.2.0尽管已经是 eclipselink 的传递依赖，但在原始问题中显示的 pom 片段中被明确拉入.

解释

总结-eclipselink Artifact 依赖javax.persistence并且都包含包中的类 javax.persistence .然而 javax.persistence jar 在 eclipselink 时被签名一个不是。因此，当从包 javax.persistence 加载类时，Java 运行时会报错。在eclipselink jar，它缺少签名与已从 javax.persistence 中的同一包加载的类不匹配 jar 。

详细信息 - 如果我在 java.util.concurrent.ConcurrentHashMap.putIfAbsent(K, V) 中放置一个断点有条件 "javax.persistence".equals(arg0)然后我看到javax.persistence映射到以下 CodeSource值:

(file:/Users/georgehawkins/.m2/repository/org/eclipse/persistence/javax.persistence/2.2.0/javax.persistence-2.2.0.jar [
[
  Version: V3
  Subject: CN="Eclipse Foundation, Inc.", OU=IT, O="Eclipse Foundation, Inc.", L=Ottawa, ST=Ontario, C=CA
  Signature Algorithm: SHA256withRSA, OID = 1.2.840.113549.1.1.11
  ...

即javax.persistence-2.2.0.jar由 Eclipse 基金会签署并包含包中的类 javax.persistence .当我的应用程序的某些部分(实际上是 Spring 逻辑中的某些深层内容)试图加载 javax.persistence.EntityManagerFactory 时，这个 jar 被拉入。 .

如果我然后在 java.lang.ClassLoader.checkCerts(String, CodeSource) 中放置一个断点在 throw new SecurityException 上行然后我看到它在传入 CodeSource 时命中此行是:

(file:/Users/georgehawkins/.m2/repository/org/eclipse/persistence/eclipselink/2.7.0/eclipselink-2.7.0.jar <no signer certificates>)

即eclipselink-2.7.0.jar还包含 javax.persistence 中的类包，但它是未签名的，因此会发生冲突，导致 SecurityException被抛出。当某些东西(也在 Spring 逻辑深处)试图加载 javax.persistence.PersistenceUtil 时，就会发生这种情况。 .

如果我查看 mvn dependency:tree 的输出我看到这种不匹配似乎归结为 eclipselink本身 - 它正在拉入 org.eclipse.persistence:javax.persistence:jar:2.2.0本身。 IE。它与其他依赖项没有冲突:

[INFO] |  \- org.eclipse.persistence:eclipselink:jar:2.7.0:compile
[INFO] |     +- org.eclipse.persistence:javax.persistence:jar:2.2.0:compile
[INFO] |     +- org.eclipse.persistence:commonj.sdo:jar:2.1.1:compile
[INFO] |     +- javax.validation:validation-api:jar:1.1.0.Final:compile
[INFO] |     \- org.glassfish:javax.json:jar:1.0.4:compile

我现在已经在 bugs.eclipse.org 上记录了这个 - 请参阅错误 525457 .