EclipseLink 2.7.0和JPA API 2.2.0 - 签名不匹配

时间:2017-08-24 20:57:14

标签: java jpa eclipselink jpa-2.2

当运行由maven构建的具有以下依赖项的项目时:

        <dependency>
            <groupId>org.eclipse.persistence</groupId>
            <artifactId>javax.persistence</artifactId>
            <version>2.2.0</version>
        </dependency>

        <dependency>
            <groupId>org.eclipse.persistence</groupId>
            <artifactId>eclipselink</artifactId>
            <version>2.7.0</version>
        </dependency>

我在运行时遇到以下错误:

java.lang.SecurityException: class "javax.persistence.Cacheable"'s signer information does not match signer information of other classes in the same package

javax.persistence-2.2.0工件已签名并包含javax.persistence.Cacheable.class注释,而eclipselink-2.7.0工件已签名且包含相同的java类注释。

如何解决这个问题?

修改

用版本2.1.1替换javax.persistence artifact 2.2.0版修复了问题(这个没有签名),但我不确定它是否正常。

10 个答案:

答案 0 :(得分:30)

谢谢Stéphane - 问题末尾的编辑帮助我“修复”了同样的问题。对于其他人来说也是如此 - 这是一个扩展的答案。这就是你需要“修复”pom中的东西(直到Eclipse正确修复):

<!-- See https://stackoverflow.com/q/45870753 -->
<dependency>   
    <groupId>org.eclipse.persistence</groupId>
    <artifactId>eclipselink</artifactId>
    <version>2.7.0</version>
    <exclusions>
        <exclusion>
            <groupId>org.eclipse.persistence</groupId>
            <artifactId>javax.persistence</artifactId>
        </exclusion>
    </exclusions>
</dependency>
<dependency>
    <groupId>org.eclipse.persistence</groupId>
    <artifactId>javax.persistence</artifactId>
    <version>2.1.1</version>
</dependency>

这会引入eclipselink,但会排除它尝试引入的javax.persistence依赖项,并将其替换为没有签名问题的早期版本的javax.persistence

除此之外:javax.persistence版本2.2.0在原始问题中显示的pom片段中被明确引入,尽管已经是eclipselink的传递依赖。

说明

摘要 - eclipselink工件取决于javax.persistence,并且都包含程序包javax.persistence中的类。但是javax.persistence jar已签名而eclipselink jar未签名。因此,当从javax.persistence jar中的包eclipselink加载一个类时,Java运行时会抱怨它缺少签名与已经从{{1}中的同一个包加载的类不匹配jar。

详细信息 - 如果我在条件为javax.persistence的{​​{1}}中放置断点,那么我会看到java.util.concurrent.ConcurrentHashMap.putIfAbsent(K, V)映射到以下"javax.persistence".equals(arg0)值:

javax.persistence

即。 CodeSource由Eclipse Foundation签名,并包含包(file:/Users/georgehawkins/.m2/repository/org/eclipse/persistence/javax.persistence/2.2.0/javax.persistence-2.2.0.jar [ [ Version: V3 Subject: CN="Eclipse Foundation, Inc.", OU=IT, O="Eclipse Foundation, Inc.", L=Ottawa, ST=Ontario, C=CA Signature Algorithm: SHA256withRSA, OID = 1.2.840.113549.1.1.11 ... 中的类。当我的应用程序的某些部分(实际上是Spring逻辑中的某些部分)试图加载javax.persistence-2.2.0.jar时,这个jar就会被拉入。

如果我在javax.persistence行的javax.persistence.EntityManagerFactory中添加了一个断点,那么当传入java.lang.ClassLoader.checkCerts(String, CodeSource)时,我会看到它遇到此行:

throw new SecurityException

即。 CodeSource还包含(file:/Users/georgehawkins/.m2/repository/org/eclipse/persistence/eclipselink/2.7.0/eclipselink-2.7.0.jar <no signer certificates>) 包中的类,但它是无符号的,因此发生冲突会导致eclipselink-2.7.0.jar被抛出。当某些事情(也在Spring逻辑中很深)试图加载javax.persistence时会发生这种情况。

如果我查看SecurityException的输出,我发现这种不匹配似乎已经归结为javax.persistence.PersistenceUtil本身 - 它本身正在引入mvn dependency:tree。即与其他一些依赖关系不是冲突:

eclipselink

我现在已经在bugs.eclipse.org上记录了这一点 - 请参阅bug 525457

答案 1 :(得分:18)

要解决此问题,请在maven pom文件中为EclipseLink 2.7.x添加正确的JPA 2.2兼容依赖项,如下所示:

<dependency>
    <groupId>org.eclipse.persistence</groupId>
    <artifactId>org.eclipse.persistence.jpa</artifactId>
    <version>2.7.1</version>
</dependency>

答案 2 :(得分:3)

像这样的

eclipselink.jar被设计为多合一捆绑包,而不是启用了osgi的jar,其中包含eclipselink项目的所有部分(例如sdo,oracle db特定的东西,dbws,nosql ..),并且可以与jpa api 2.0一起运行在类路径上-至少在2.x版本中。在许多情况下,这是不需要的,可以使用适当的组件来代替,例如org.eclipse.persistence.jpa,org.eclipse.persistence.oracle等。有关完整列表,请参见:http://search.maven.org/#search%7Cga%7C1%7Corg.eclipse.persistence

答案 3 :(得分:1)

我通过切换jar在类路径中出现的顺序来解决此问题。就我而言,我使用的是Tomcat,必须修改catalina.properties才能将javax放在eclipselink之前。

答案 4 :(得分:1)

奥宾纳的答案是正确的;我猜想eclipselink 2.7.x存在问题-正如George所指出的。升级eclipselink时,我遇到了类似的问题,但这只是错误的人工产物。最初描述的问题似乎是外部引用javax.persistence级别的结果-绝对没有必要。

正确的Maven配置可以在eclipselink Wiki中找到: https://wiki.eclipse.org/EclipseLink/Maven

答案 5 :(得分:0)

我也遇到了这个问题,我的情况有所不同,因为我没有使用Maven。但是,我在这里给出一个答案,因为它可能使人们对如何根据自己的情况来解决这个问题有所了解。毕竟,标题是关于这种不匹配的,通常,使用Maven时是一种情况。

我正在NetBeans项目中使用eclipselink。最初,我将eclipselink jar文件(eclipselink-2.7.0.jar)和所需的org.eclipse.persistence jar文件都放置为项​​目的外部库。上面Sergeyentreprenr的评论实际上是导致我解决问题的原因。我要做的是创建一个新库(“工具”->“库”->“新库...”),该库包含eclipselink jar文件(即eclipselink-2.7.0.jar未添加到库),只有项目所需的特定org.eclipse.persistence jar文件,例如org.eclipse.persistence.antlr-2.7.0.jarorg.eclipse.persistence.asm-2.7.0.jarorg.eclipse.persistence.core-2.7.0.jarorg.eclipse.persistence.jpa.modelgen.processor-2.7.0.jarorg.eclipse.persistence.jpa-2.7.0.jar等。然后,我将此库添加到我的项目中,并且异常消失了。

当然,我还必须用其2.7.0版本替换服务器上的所有org.eclipse.persistence jar文件,并用其2.2.0版本替换javax.persistence.jar(我使用payara,所以这些位于<payara_home>\glassfish\modules下。

答案 6 :(得分:0)

这种奇怪的情况似乎仍然存在,在我的情况下,不使用Maven,只是试图运行一个简单的JPA示例(如果您仅需要几个小时就可以实现它,那真令人沮丧)。

从1月开始的2.7.4版本中,如果将zip链接中的eclipselink.jar和jakarta.persistence_2.2.2.jar放在类路径中,则会发生此错误。

最后,解决方案是更改类路径的顺序:首先是jakarta-persistence,然后是eclipselink-jar。 因此,所有javax.persistence类均来自jakarta-jar,而不是部分来自eclipselink-jar(如果在其中包含)。

所以我真的很奇怪。

eclipselink软件包应该是多合一的吗?但事实并非如此。包含一些javax.persistence类。其他不是-在JPA代码中使用的基本类,例如EntityManager。当然,连同zip中包含的jakarta-jar一起使用,它是完整的-但您不能将两个jar与classpath上的“错误”顺序一起使用!我真的认为这是一个错误-或至少应该在包装中对此有一个巨大的提示。

这里建议使用Maven的org.eclipse.persistence.jpa-2.7.4.jar是什么?它没有eclipselink.jar是的问题,不是此错误消息。但是然后它似乎也似乎不包括Eclipselink JPA实现,至少与它一起运行时,我得到一个错误,即代码中引用的持久性单元不存在(与eclipselink.jar相同的persistence.xml)。

奇怪的情况。

答案 7 :(得分:0)

我在我的项目构建中使用gradle并解决了OP的问题,我终于使用了以下工作设置。

dependencies {

    testImplementation(group: 'org.eclipse.persistence', name: 'eclipselink', version: '2.7.4') {
        exclude group: 'javax.validation', module: 'validation-api'
        exclude group: 'org.eclipse.persistence', module: 'javax.persistence'
        exclude group: 'org.eclipse.persistence', module: 'commonj.sdo'
        exclude group: 'org.eclipse.persistence', module: 'jakarta.persistence'
    }

    testImplementation(group: 'org.eclipse.persistence', name: 'org.eclipse.persistence.jpa', version: '2.7.4') {
        exclude group: 'org.eclipse.persistence', module: 'jakarta.persistence'
    }

}

您当然可以使用您想要或需要的任何依赖类型来代替“ testImplementation”。

阅读Sergey的评论后,我通过使用以下方法对此进行了改进:

dependencies {
    testImplementation group: 'org.eclipse.persistence', name: 'org.eclipse.persistence.jpa', version: '2.7.4'
}

我认为最后一个是最好的解决方案。

答案 8 :(得分:0)

我的项目在JDK-8上运行,但是在将其升级到openJDK-11时停止工作。 我解决了它,但排除了jpa-persistence模块,并再次添加了版本2.2

   dependencies.create('org.eclipse.persistence:eclipselink:2.7.4') {
      exclude module: "javax.persistence"
   },
   'javax.persistence:javax.persistence-api:2.2', //add it again, manually
   'org.eclipse.persistence:org.eclipse.persistence.asm:2.7.4',
   'org.eclipse.persistence:org.eclipse.persistence.antlr:2.7.4',
   'org.eclipse.persistence:org.eclipse.persistence.moxy:2.7.4',
   'org.eclipse.persistence:org.eclipse.persistence.core:2.7.4'

答案 9 :(得分:0)

因为仅在使用Tomcat时找不到此问题的答案,并且此线程经常与此问题相关,所以我将在此处发布解决方案:

由于签名位于MANIFEST.MF中,因此您可以使用7zip或WinRAR更改.jar文件中的签名,以打开它们,也可以从两个.jar的META-INF文件中删除它们,然后将更改的文件导入到你骑。

用于签名不匹配问题的有用线程是此线程:Java SecurityException: signer information does not match