Maven项目中依赖传递优先级问题的实践 & dependencyManagement标签的使用

最新推荐文章于 2024-07-04 10:20:01 发布
最新推荐文章于 2024-07-04 10:20:01 发布
阅读量1.2k 收藏
点赞数
分类专栏: maven # java基础 Spring Boot 文章标签: java maven jar spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35606010/article/details/115867852
版权
java基础 同时被 3 个专栏收录
14 篇文章 1 订阅
订阅专栏
Spring Boot
7 篇文章 0 订阅
订阅专栏
maven
4 篇文章 0 订阅
订阅专栏

Maven项目中依赖传递优先级问题的实践

突然说道maven的jar包依赖问题,原因是某个安全级别较高的客户现场扫描到了我们产品项目的jar包存在漏洞,需要升级jar包版本,我的实践由此展开

查看项目的完整依赖树

要升级jar包版本,首先要看到当前项目的jar包版本

执行mvn dependency:tree查看项目的完整依赖树

我是在IDEA中使用Maven管理工具 工具栏中的Execute Maven Goal,如下图所示:
在这里插入图片描述
点击打开,输入Maven命令,特殊说明:在windows的cmd中执行命令,需要在最前面加上mvn,而在这里不需要,如下图所示:
在这里插入图片描述
可以看到控制台输出的树形依赖结构,这里给出示例:

pilafs-MacBook-Pro:content-admin pilaf$ mvn dependency:tree
[INFO] Scanning for projects...
[INFO] 
[INFO] ------------------< com.**:content-admin >-------------------
[INFO] Building content-admin 1.0-SNAPSHOT
[INFO] --------------------------------[ jar ]---------------------------------
[INFO] 
[INFO] --- maven-dependency-plugin:3.1.1:tree (default-cli) @ content-admin ---
[INFO] com.demo:content-admin:jar:1.0-SNAPSHOT
[INFO] +- com.demo:content-api:jar:1.0-SNAPSHOT:compile
[INFO] +- com.demo:content-common:jar:1.0-SNAPSHOT:compile
[INFO] |  +- org.apache.httpcomponents:httpclient:jar:4.5.8:compile
[INFO] |  |  \- org.apache.httpcomponents:httpcore:jar:4.4.11:compile
[INFO] |  \- org.apache.httpcomponents:httpmime:jar:4.5.8:compile
[INFO] +- org.springframework.boot:spring-boot-starter-test:jar:2.1.4.RELEASE:test
[INFO] |  +- org.springframework.boot:spring-boot-test:jar:2.1.4.RELEASE:test
[INFO] |  +- org.springframework.boot:spring-boot-test-autoconfigure:jar:2.1.4.RELEASE:test
[INFO] |  +- com.jayway.jsonpath:json-path:jar:2.4.0:test
[INFO] |  |  \- net.minidev:json-smart:jar:2.3:test
[INFO] |  |     \- net.minidev:accessors-smart:jar:1.2:test
[INFO] |  |        \- org.ow2.asm:asm:jar:5.0.4:test
[INFO] |  +- org.assertj:assertj-core:jar:3.11.1:test
[INFO] |  +- org.mockito:mockito-core:jar:2.23.4:test
[INFO] |  |  +- net.bytebuddy:byte-buddy:jar:1.9.12:test
[INFO] |  |  +- net.bytebuddy:byte-buddy-agent:jar:1.9.12:test
[INFO] |  |  \- org.objenesis:objenesis:jar:2.6:test
[INFO] |  +- org.hamcrest:hamcrest-core:jar:1.3:compile
[INFO] |  +- org.hamcrest:hamcrest-library:jar:1.3:test
[INFO] |  +- org.skyscreamer:jsonassert:jar:1.5.0:test
[INFO] |  |  \- com.vaadin.external.google:android-json:jar:0.0.20131108.vaadin1:test
[INFO] |  +- org.springframework:spring-core:jar:5.1.6.RELEASE:compile
[INFO] |  |  \- org.springframework:spring-jcl:jar:5.1.6.RELEASE:compile
[INFO] |  +- org.springframework:spring-test:jar:5.1.6.RELEASE:test
[INFO] |  \- org.xmlunit:xmlunit-core:jar:2.6.2:test
[INFO] +- com.h2database:h2:jar:1.4.199:runtime
[INFO] \- mysql:mysql-connector-java:jar:5.1.46:runtime
[INFO] ------------------------------------------------------------------------
[INFO] BUILD SUCCESS
[INFO] ------------------------------------------------------------------------
[INFO] Total time:  2.431 s
[INFO] Finished at: 2019-07-22T14:29:55+08:00
[INFO] ------------------------------------------------------------------------

然后使找到要升级版本的jar包都被谁引用了

org.springframework.boot:spring-boot-starter-web:jar

在这里插入图片描述
可以看到是springboot的jar引用了这个目标jar,而我们的项目又引用了springboot的jar包。

升级jar包版本

现在需要想办法把目标jar的版本升级到指定版本
在这里插入图片描述

于是现在直接在项目中指定引用jackson-databind的版本

<!-- https://mvnrepository.com/artifact/com.fasterxml.jackson.core/jackson-databind -->
    <dependency>
      <groupId>com.fasterxml.jackson.core</groupId>
      <artifactId>jackson-databind</artifactId>
      <version>2.10.3</version>
    </dependency>

重新build项目后,再查看jackson-databindjar包的依赖情况

查看某个jar包的依赖情况

查看依赖树中包含某个groupId和artifactId的依赖链(注意-Dincludes后面是等于号)
mvn dependency:tree -Dincludes=com.fasterxml.jackson.core:jackson-databind:
在这里插入图片描述

dependency:tree -Dincludes=com.fasterxml.jackson.core:jackson-databind:

引用jar包依赖传递

之前的依赖情况如下图
在这里插入图片描述

直接引用jar包

现在的依赖情况如图所示:
在这里插入图片描述

到此问题解决

参考
maven项目查看依赖树
Idea查看Maven依赖树

dependencyManagement标签的使用

dependencyManagement使用简介

Maven中的dependencyManagement元素提供了一种管理依赖版本号的方式。在dependencyManagement元素中声明所依赖的jar包的版本号等信息,那么所有子项目再次引入此依赖jar包时则无需显式的列出版本号。Maven会沿着父子层级向上寻找拥有dependencyManagement 元素的项目,然后使用它指定的版本号。

举例
在父项目的POM.xml中配置:

<dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-web</artifactId>
                <version>1.2.3.RELEASE</version>
            </dependency>
        </dependencies>
    </dependencyManagement>

此配置即生命了spring-boot的版本信息。

子项目则无需指定版本信息:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

使用优点
如果有多个子项目都引用同一样依赖,则可以避免在每个使用的子项目里都声明一个版本号。当想升级或切换到另一个版本时,只需要在顶层父容器里更新,而不需要逐个修改子项目;另外如果某个子项目需要另外的一个版本,只需要声明version即可。

注意事项
dependencyManagement中定义的只是依赖的声明,并不实现引入,因此子项目需要显式的声明需要用的依赖。

参考
dependencyManagement使用简介

Maven实战— dependencies与dependencyManagement的区别

Maven中依赖的优先级问题

Maven传递依赖的坑:父pom中dependencyManagement版本优先级高于传递依赖版本

無间行者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Maven学习笔记(2)——pom、dependencyManagement、classifier属性、import scope、type pom
fengcai0123的专栏
12-29 2900
pom.xml dependencyManagement classifier dependencyManagementMaven 使用dependencyManagement 元素为多项目依赖提供了一种管理依赖版本号的方式。父项目声明依赖的版本,则子项目就不用版本,只需引用就可,子项目也会自动加载父项目声明的版本jardependencyManagement 作为版本统一管理,避免多子项
IDEA引MAVEN项目jar依赖导入问题解决方法
08-28
主要介绍了IDEA引MAVEN项目jar依赖导入问题解决,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
dependencyManagement_前进的火车_新浪博客
sinat_36521092的博客
12-20 238
dependencyManagement使用简介 MavendependencyManagement元素提供了一种管理依赖版本号的方式。在dependencyManagement元素声明所依赖jar包的版本号等信息,那么所有子项目再次引入此依赖jar包时则无需显式的列出版本号。Maven会沿着父子层级向上寻找拥有dependencyManagement 元素的项目,然后使用它指定...
maven依赖传递优先级
最新发布
u013905123的专栏
07-04 233
直接依赖优先:直接声明的依赖优先于传递依赖。 路径最近优先:依赖路径更短的版本优先。 声明顺序优先:如果路径长度相同,则选择声明顺序靠前的版本。
pom.xmldependencyManagement
datouniao1的博客
01-06 2594
情形一:在多工程项目,我们常常是在为了方便依赖管理,我们在dependencies的外面加上一层dependencyManagement标签 如何使用这个标签,那么我们在子工程里面如果要使用什么jar需要重新的引入一遍,但是这个时候的引入不需要些引入的jar的版本号。   情形二:如果我们不使用这个标签,那么父工程引入的jar我们可以在子工程的使用,父工程引入之后子工程需要引入jar ...
maven pom dependencyManagement作用
mm的博客
07-04 3384
dependencyManagement maven使用dependencyManagement 来提供一种管理依赖版本号的方式;一般是在最顶层父工程使用标签。 如果父工程使用了该标签定义了依赖,那么它的子工程可以不用显示定义该依赖的版本号 ...
pom文件dependencyManagement和dependency
剑小纯的夜话白鹭
03-04 5912
MavendependencyManagement的作用在于对所依赖jar包的版本进行管理. 在pom文件,jar的版本判断的两种方式: 1: 如果dependencies里面的dependency自己没有声明version元素,那么maven就会到dependencyManagement里面去找有没有对该artifactId和groupId进行过版本声明,如果有,就继承它,如果没有...
​实现maven项目多版本依赖兼容使用解决方案
07-29
Java开发Maven作为主流的构建工具,管理着项目依赖关系。然而,当项目引入多个库时,可能会遇到依赖冲突的问题依赖冲突通常发生在两个或更多库使用相同类的不同版本时,Maven默认会选择最高版本的依赖,但...
Maven最佳实践之一个好的parent依赖基础
08-26
Maven 最佳实践之一个好的 parent 依赖基础 Maven 是一个流行的项目管理和构建工具,它提供了许多功能来帮助开发者管理项目依赖关系。今天,我们将讨论如何使用 parent 依赖来控制依赖版本,从而避免版本冲突。 ...
Maven dependencies与dependencyManagement的区别详解
08-26
例如,在一个大型项目,我们可以使用 dependencyManagement 来管理所有子模块的依赖项,从而确保所有依赖项的版本一致。 案例分析 在上面的案例,我们可以看到一个大型项目依赖管理机制。项目有多个子模块...
maven项目pom.xmlparent标签使用.docx
08-02
"Maven 项目 pom.xml parent 标签使用" ...Maven 项目 pom.xml 文件的 parent 标签和 `<dependencyManagement>` 标签依赖管理的核心组件,它们可以简化项目间的依赖管理,使得项目结构更加清晰、易于维护。
Maven项目pom文件dependencyManagement,dependencies,dependency有什么区别?
m0_70325779的博客
07-22 1971
使用dependencyManagement这个属性之后,能让所有子项目在引入依赖时无需再次指定版本号,Maven会逐层向上查找,直到找到含有dependencyManagement元素的项目,然后就会使用dependencyManagement元素指定的版本号。如下所示,这个是顶级父项目的pom.xml文件在dependencyManagement元素,我已经指定好了各个依赖的版本号,那么在该项目的子项目,当我们引入父项目已经有的依赖时,就不需要再指定依赖的版本号了。
黑猴子的家:Maven 继承
黑猴子的博客
10-25 179
1、为什么需要继承机制? 由于非compile范围的依赖信息是不能在“依赖链”传递的,所以有需要的工程只能单独配置。例如: &lt;dependency&gt; &lt;groupId&gt;junit&lt;/groupId&gt; &lt;artifactId&gt;junit&lt;/artifactId&gt; &lt;version&gt;4.0&lt;/...
Maven POMdependencyManagement
scgaopan的专栏
12-15 429
dependencyManagement Maven 使用dependencyManagement 元素来提供了一种管理依赖版本号的方式。通常会在一个组织或者项目的最顶层的父POM 看到dependencyManagement 元素。使用pom.xml dependencyManagement 元素能让 所有在子项目引用一个依赖而不用显式的列出版本号。Maven 会沿着父子层次向上走,
dependencyManagement
逆轮回
01-14 3237
我们知道,子模块可以通过继承获得父模块声明的全部依赖,这样虽然避免了在各个子模块 POM 重复进行依赖声明,但也极有可能造成子模块引入一些不必要的依赖。为此 Maven 引入了 dependencyManagement 来对依赖进行管理。
dependencyManagement与dependencies区别
zb0002011的博客
09-11 301
一、dependencyManagement应用场景 为了项目的正确运行,必须让所有的子模块使用依赖项的统一版本,必须确保应用的各个项目依赖项和版本一致,才能保证测试的和发布的是相同的结果。在我们项目顶层的pom文件,我们会看到dependencyManagement元素。通过它元素来管理jar包的版本,让子项目引用一个依赖而不用显示的列出版本号。Maven会沿着父子层次向上走,直到找到一个拥有dependencyManagement元素的项目,然后它就会使用在这个dependencyManagem
pom文件dependencies和dependencyManagement的区别
weixin_44757894的博客
05-01 1135
版权声明:本文为CSDN博主「时光有伱记忆成花」的原创文章。 原文链接:https://blog.csdn.net/li_wen_jin/article/details/107139959 Maven 使用dependencyManagement元素来提供了一种管理依赖版本号的方式通常会在一个组织或者项目的最顶层的父pom看到dependencyManagement元素。 使用pom.xmldependencyManagement元素能让所有在子项目引用一个依赖而不用显式的列出版本号。 例如在父.
MavendependencyManagement
热门推荐
程序新视界
05-24 1万+
dependencyManagement使用简介MavendependencyManagement元素提供了一种管理依赖版本号的方式。在dependencyManagement元素声明所依赖jar包的版本号等信息,那么所有子项目再次引入此依赖jar包时则无需显式的列出版本号。Maven会沿着父子层级向上寻找拥有dependencyManagement 元素的项目,然后使用它指定的版本号。举例
Maven 父pomdependencyManagement版本优先级高于传递依赖版本
z69183787的专栏
05-19 1万+
使用传递依赖,也就是使用了没有显示声明的依赖时,如果继承的<dependencyManagement/>声明了使用传递依赖的版本,那么最终使用依赖是<dependencyManagement/>声明的版本。 用Spring举一个栗子: 1.mvn dependency:tree 先看下项目依赖的基础组件使用Spring版本。 可以看到基础组件使用Spring版本为3.1.3,不能lambda表达式(被坑过)。 2.mvn dependency:an.
maven项目dependencyManagement是否会透传依赖
01-30
Maven项目dependencyManagement不会透传依赖。它只是用于管理项目依赖版本号,并不会实际引入这些依赖。它的作用是统一管理项目使用依赖版本,以确保项目的所有模块都使用相同的依赖版本,避免版本冲突的问题。 在Maven项目,如果一个模块需要使用某个依赖,它需要在自己的pom.xml文件显式地声明该依赖。而dependencyManagement只是在父模块声明了依赖的版本号,子模块可以继承这个版本号,但并不会自动引入这些依赖。 如果你想在Maven项目实现依赖的透传,可以使用Maven传递依赖机制。传递依赖是指当一个模块依赖于另一个模块时,它会自动引入被依赖模块的依赖。你可以在pom.xml文件使用<dependencies>标签来声明传递依赖。 ```xml <dependencies> <dependency> <groupId>com.example</groupId> <artifactId>module1</artifactId> <version>1.0.0</version> <scope>compile</scope> </dependency> </dependencies> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

無间行者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值