今天,我们的重点工作是对monorepo系统的文件导入做安全控制,主要是通过判断文件的扩展名和类型,来限定用户导入文件的合法性,防止非法文件进入系统造成风险。
我们借用了此前在另一个系统zfquan基于Apache Tika的解决方案。
不巧,在运行main程序时,出现了一个 NoClassDefFoundError 错误-未找到Apache Commons IO(commons-io)类库的一个class的定义。
20:25:14.667 [main] DEBUG org.apache.tika.config.TikaConfig - loading tika config from defaults; no config file specified
Exception in thread "main" java.lang.NoClassDefFoundError: org/apache/commons/io/input/UnsynchronizedByteArrayInputStream
at org.apache.tika.config.TikaConfig.getDefaultMimeTypes(TikaConfig.java:317)
at org.apache.tika.config.TikaConfig.<init>(TikaConfig.java:246)
at org.apache.tika.config.TikaConfig.getDefaultConfig(TikaConfig.java:390)
at org.apache.tika.Tika.<init>(Tika.java:119)
at com.emax.zhenghe.common.util.TikaFileSecurityUtils.<init>(TikaFileSecurityUtils.java:20)
at com.emaxcard.car.TestMain.main(TestMain.java:38)
Caused by: java.lang.ClassNotFoundException: org.apache.commons.io.input.UnsynchronizedByteArrayInputStream
at java.net.URLClassLoader.findClass(URLClassLoader.java:387)
at java.lang.ClassLoader.loadClass(ClassLoader.java:418)
at sun.misc.Launcher$AppClassLoader.loadClass(Launcher.java:352)
at java.lang.ClassLoader.loadClass(ClassLoader.java:351)
... 6 more
Process finished with exit code 1
NoClassDefFoundError(而不是 ClassNotFoundException) 表示编译时类存在,但运行时找不到。
常见原因:
-
依赖未正确引入。
-
依赖冲突导致类加载失败。
-
打包时遗漏了 commons-io.jar(如 maven-shade-plugin 未正确包含依赖)。
同样的Tika,为什么搬到monorepo就不行了呢?
经查maven依赖,monorepo系统与zfquan系统所依赖的 commons-io 的版本不同,zfquan是2.16.1,monorepo是2.6,这导致了问题的发生。
与单体结构的zfquan所不同的是,monorepo是一个庞大的同时拥有基础lib库和上层应用的工程。我们是在lib库的 sby-component-dfs 包 中添加的Tika依赖。
我尝试在其中一个应用层pom里显式添加 commons-io:2.16.1,是可以解决问题的。
但,monorepo有多达数十个应用,我显然不能在这么多应用层里显式添加 commons-io:2.16.1 依赖。而且,这不符合我们的系统开发规范————maven包依赖统一在顶层pom来管理。
那么,如何继续解决呢?
通过应用的maven依赖树(dependency:tree)得知,commons-io:commons-io:jar:2.6 是直接作为顶层依赖引入的(没有被其他库传递依赖)
然后我在IDE中全局查找 <artifactId>commons-io</artifactId>,发现在顶层maven依赖管理文件 spring-base.pom 中,的确显式定义了 commons-io 的版本号!
<properties>
...
<commons.version>2.6</commons.version>
</properties>
<dependencyManagement>
<dependencies>
...
<dependency>
<groupId>commons-io</groupId>
<artifactId>commons-io</artifactId>
<version>${commons.version}</version>
</dependency>
</dependencies>
</dependencyManagement>
如此,我把这个版本号变更为 2.16.1 ,也是可以解决问题的。
但,monorepo项目庞大,这样可能会拆东墙补西墙————可能影响其他用到commons-io的系统功能。
so,我们得针对 Tika 版本来做文章,找到适配 commons-io:2.6 的版本。
DeepSeek很快给出答案:Tika 2.4.1依赖commons-io:2.6。开发者将 Tika 版本从 2.9.1 降级到 2.4.1,不再出现NoClassDefFoundError错误,并且经测试,这个版本的Tika可以满足我们对系统文件导入的安全控制。
京ICP备14020293号-4