EclipseLink 2.7.0 和 JPA API 2.2.0 - 签名不匹配

Question

运行maven构建的项目时，具有以下依赖项：

        <dependency>
            <groupId>org.eclipse.persistence</groupId>
            <artifactId>javax.persistence</artifactId>
            <version>2.2.0</version>
        </dependency>

        <dependency>
            <groupId>org.eclipse.persistence</groupId>
            <artifactId>eclipselink</artifactId>
            <version>2.7.0</version>
        </dependency>

我在运行时收到以下错误：

java.lang.SecurityException: class "javax.persistence.Cacheable"'s signer information does not match signer information of other classes in the same package

javax.persistence-2.2.0 工件已签名并包含 javax.persistence.Cacheable.class 注释，而 eclipselink-2.7.0 工件未签名并且还包含相同的 java类注释。

如何解决这个问题？

编辑

将 javax.persistence 工件版本 2.2.0 替换为 2.1.1 版本可以解决问题（这个没有签名），但我不确定这是不是正常情况。

Answer 1

感谢 Stéphane - 您问题末尾的编辑帮助我“解决”了同样的问题。对于其他也遇到此问题的人-这是一个扩展的答案。这就是你需要在你的 pom 中“修复”一些东西（直到 Eclipse 正确修复这些东西）：

<!-- See https://stackoverflow.com/q/45870753 -->
<dependency>   
    <groupId>org.eclipse.persistence</groupId>
    <artifactId>eclipselink</artifactId>
    <version>2.7.0</version>
    <exclusions>
        <exclusion>
            <groupId>org.eclipse.persistence</groupId>
            <artifactId>javax.persistence</artifactId>
        </exclusion>
    </exclusions>
</dependency>
<dependency>
    <groupId>org.eclipse.persistence</groupId>
    <artifactId>javax.persistence</artifactId>
    <version>2.1.1</version>
</dependency>

这会引入eclipselink，但会排除它尝试引入的javax.persistence 依赖项，并将其替换为不存在签名问题的早期版本的javax.persistence。

除此之外：javax.persistence 版本 2.2.0 在原始问题中显示的 pom 片段中被显式拉入，尽管它已经是 eclipselink 的传递依赖项。

说明

总结 - eclipselink 工件依赖于 javax.persistence 并且两者都包含包 javax.persistence 中的类。但是，javax.persistence jar 已签名，而 eclipselink 未签名。因此，当从 eclipselink jar 中的包 javax.persistence 加载类时，Java 运行时会抱怨它缺少签名与已经从 javax.persistence jar 中的同一包中加载的类不匹配。

详细信息 - 如果我在 java.util.concurrent.ConcurrentHashMap.putIfAbsent(K, V) 中放置一个断点，条件为 "javax.persistence".equals(arg0)，那么我看到 javax.persistence 映射到以下 CodeSource 值：

(file:/Users/georgehawkins/.m2/repository/org/eclipse/persistence/javax.persistence/2.2.0/javax.persistence-2.2.0.jar [
[
  Version: V3
  Subject: CN="Eclipse Foundation, Inc.", OU=IT, O="Eclipse Foundation, Inc.", L=Ottawa, ST=Ontario, C=CA
  Signature Algorithm: SHA256withRSA, OID = 1.2.840.113549.1.1.11
  ...

即javax.persistence-2.2.0.jar 由 Eclipse 基金会签名，包含 javax.persistence 包中的类。当我的应用程序的某些部分（实际上是 Spring 逻辑中的某些内容）尝试加载 javax.persistence.EntityManagerFactory 时，这个 jar 被拉入。

如果我在throw new SecurityException 行的java.lang.ClassLoader.checkCerts(String, CodeSource) 中放置一个断点，那么当传入的CodeSource 是：

(file:/Users/georgehawkins/.m2/repository/org/eclipse/persistence/eclipselink/2.7.0/eclipselink-2.7.0.jar <no signer certificates>)

即eclipselink-2.7.0.jar 还包含 javax.persistence 包中的类，但它是未签名的，因此会发生冲突，导致抛出 SecurityException。当某些东西（也在 Spring 逻辑中）尝试加载 javax.persistence.PersistenceUtil 时，就会发生这种情况。

如果我查看mvn dependency:tree 的输出，我发现这种不匹配似乎归结为eclipselink 本身——它正在拉入org.eclipse.persistence:javax.persistence:jar:2.2.0 本身。 IE。它与其他依赖项没有冲突：

[INFO] |  \- org.eclipse.persistence:eclipselink:jar:2.7.0:compile
[INFO] |     +- org.eclipse.persistence:javax.persistence:jar:2.2.0:compile
[INFO] |     +- org.eclipse.persistence:commonj.sdo:jar:2.1.1:compile
[INFO] |     +- javax.validation:validation-api:jar:1.1.0.Final:compile
[INFO] |     \- org.glassfish:javax.json:jar:1.0.4:compile

我现在在 bugs.eclipse.org 上记录了这个 - 请参阅错误 525457。

Answer 2

要解决此问题，请将 EclipseLink 2.7.x 的正确 JPA 2.2 兼容依赖项放入您的 maven pom 文件中，如下所示：

<dependency>
    <groupId>org.eclipse.persistence</groupId>
    <artifactId>org.eclipse.persistence.jpa</artifactId>
    <version>2.7.1</version>
</dependency>

Answer 3

我通过切换 jar 在类路径中出现的顺序来解决这个问题。就我而言，我使用的是 Tomcat，并且必须修改 catalina.properties 以将 javax 放在 eclipselink 之前。

Answer 4

eclipselink.jar 本身被设计为一体式捆绑包，而不是启用 osgi 的 jar，其中包含 eclipselink 项目的所有部分（即 sdo、oracle db 特定的东西、dbws、nosql..），能够与 jpa api 2.0 一起运行在类路径上 - 至少在 2.x 版本中。在许多情况下，这不是必需的，可以使用适当的组件来代替，例如 org.eclipse.persistence.jpa、org.eclipse.persistence.oracle 等。完整列表请参见：http://search.maven.org/#search%7Cga%7C1%7Corg.eclipse.persistence

Answer 5

Obinna 的回答是正确的；我猜 eclipselink 2.7.x 存在问题——正如 George 指出的那样。升级 eclipselink 时我遇到了类似的问题，但这只是错误的人工制品。最初描述的问题似乎是外部引用 javax.persistence 级别的结果 - 这绝对没有必要。

可以在 eclipselink wiki 中找到正确的 maven 配置： https://wiki.eclipse.org/EclipseLink/Maven

Answer 6

我也遇到了这个问题，我的情况有点不同，因为我没有使用 Maven。但是，我在这里给出一个答案，因为它可能会让人们了解如何在自己的情况下处理这个问题。毕竟，标题是关于这种不匹配的，一般来说，一个子案例是使用 Maven 时。

我在 NetBeans 项目中使用 eclipselink。最初，我将 eclipselink jar 文件 (eclipselink-2.7.0.jar) 和所需的 org.eclipse.persistence jar 文件作为外部库放置到我的项目中。上面Sergey 和entreprenr 的评论实际上是引导我解决问题的原因。我要做的是创建一个新库（工具->库->新库...），它 not 包含 eclipselink jar 文件（即 eclipselink-2.7.0.jar 未添加到库中） ，只有项目所需的特定 org.eclipse.persistence jar 文件，例如org.eclipse.persistence.antlr-2.7.0.jar、org.eclipse.persistence.asm-2.7.0.jar、org.eclipse.persistence.core-2.7.0.jar、org.eclipse.persistence.jpa.modelgen.processor-2.7.0.jar、org.eclipse.persistence.jpa-2.7.0.jar 等。然后我将这个库添加到我的项目中，异常消失了。

当然，我还必须将我服务器上的所有 org.eclipse.persistence jar 文件替换为其 2.7.0 版本，并将javax.persistence.jar 替换为其 2.2.0 版本（我使用 payara，所以这些位于在<payara_home>\glassfish\modules).

Answer 7

这种奇怪的情况似乎仍然存在，在我的情况下没有使用 Maven，只是试图让一个简单的 JPA 示例运行（如果你需要几个小时来实现它，那真的很令人沮丧）。

对于 1 月的 2.7.4，如果您将 eclipselink.jar 和 jakarta.persistence_2.2.2.jar 从 zip 放在类路径中，则会发生此错误。

最终的解决方案是更改类路径上的顺序：首先是 jakarta-persistence，然后才是 eclipselink-jar。 所以所有 javax.persistence 类都取自 jakarta-jar，而不是 eclipselink-jar 的一部分（如果包含在那里）。

所以我真的很想知道各种各样的事情。

eclipselink 包应该是一体的？但事实并非如此。包含一些 javax.persistence 类。其他不是 - 在 JPA 代码中使用的基本类，如 EntityManager。当然，与包含在 zip 中的 jakarta-jar 一起它是完整的 - 但您可能不会将这两个 jar 与类路径上的“错误”顺序一起使用！？我真的认为这是一个错误 - 或者至少应该在包中对此有一个巨大的提示。

这里建议的 Maven 的 org.eclipse.persistence.jpa-2.7.4.jar 是什么？它没有eclipselink.jar的问题是的，不是这个错误信息。但它似乎也只是不包括 Eclipselink JPA 实现，至少在运行它时我得到错误代码中引用的持久性单元不存在（与 eclipselink.jar 相同的持久性.xml）。

奇怪的情况。

Answer 8

我在我的项目构建中使用 gradle 来解决我也遇到过的 OP 问题，我最终使用了以下工作设置。

dependencies {

    testImplementation(group: 'org.eclipse.persistence', name: 'eclipselink', version: '2.7.4') {
        exclude group: 'javax.validation', module: 'validation-api'
        exclude group: 'org.eclipse.persistence', module: 'javax.persistence'
        exclude group: 'org.eclipse.persistence', module: 'commonj.sdo'
        exclude group: 'org.eclipse.persistence', module: 'jakarta.persistence'
    }

    testImplementation(group: 'org.eclipse.persistence', name: 'org.eclipse.persistence.jpa', version: '2.7.4') {
        exclude group: 'org.eclipse.persistence', module: 'jakarta.persistence'
    }

}

您当然可以使用您想要或需要的任何依赖类型来代替“testImplementation”。

在阅读了 Sergey 的评论后，我通过以下方式改进了这一点：

dependencies {
    testImplementation group: 'org.eclipse.persistence', name: 'org.eclipse.persistence.jpa', version: '2.7.4'
}

我认为最后一个是最好的解决方案。

Answer 9

我的项目在 JDK-8 上运行，但当我将其升级到 openJDK-11 时停止运行。 我解决了它，不包括jpa-persistence 模块，并在版本2.2 上再次添加：

   dependencies.create('org.eclipse.persistence:eclipselink:2.7.4') {
      exclude module: "javax.persistence"
   },
   'javax.persistence:javax.persistence-api:2.2', //add it again, manually
   'org.eclipse.persistence:org.eclipse.persistence.asm:2.7.4',
   'org.eclipse.persistence:org.eclipse.persistence.antlr:2.7.4',
   'org.eclipse.persistence:org.eclipse.persistence.moxy:2.7.4',
   'org.eclipse.persistence:org.eclipse.persistence.core:2.7.4'

Answer 10

因为我只使用Tomcat时找不到这个问题的答案，而且这个线程经常与这个问题相关联，所以我将在这里发布我的解决方案：

由于签名在 MANIFEST.MF 中，您可以使用 7zip 或 WinRAR 更改 .jar 文件中的签名以打开它们，或者干脆从两个 .jar 的 META-INF 文件中删除它们，然后将更改的文件导入到你骑。

签名不匹配问题的一个有用线程是这个线程：Java SecurityException: signer information does not match