EclipseLink 2.7.0 и JPA API 2.2.0 - несоответствие подписи

Спасибо Стефану - редактирование в конце вашего вопроса помогло мне "исправить" ту же проблему. Для всех, кто также это ударит - вот расширенный ответ. Вот что вам нужно, чтобы "исправить" вещи в вашей поме (пока Eclipse не исправит все правильно):

<!-- See https://stackru.com/q/45870753 -->
<dependency>   
    <groupId>org.eclipse.persistence</groupId>
    <artifactId>eclipselink</artifactId>
    <version>2.7.0</version>
    <exclusions>
        <exclusion>
            <groupId>org.eclipse.persistence</groupId>
            <artifactId>javax.persistence</artifactId>
        </exclusion>
    </exclusions>
</dependency>
<dependency>
    <groupId>org.eclipse.persistence</groupId>
    <artifactId>javax.persistence</artifactId>
    <version>2.1.1</version>
</dependency>

Это тянет в eclipselink но исключает javax.persistence зависимость, что он пытается вытянуть и заменяет его более ранней версией javax.persistence это не имеет проблемы с подписанием.

В сторону: javax.persistence версия 2.2.0 явно указан во фрагменте pom, показанном в исходном вопросе, несмотря на то, что он уже является транзитивной зависимостью eclipselink,

объяснение

Резюме - eclipselink артефакт зависит от javax.persistence и оба содержат классы, которые находятся в пакете javax.persistence, Тем не менее javax.persistence банка подписана в то время как eclipselink один нет. Поэтому среда выполнения Java будет жаловаться при загрузке класса из пакета. javax.persistence в eclipselink что отсутствие подписи не совпадает с классами, уже загруженными из того же пакета в javax.persistence баночка.

Подробности - если я поставлю точку останова в java.util.concurrent.ConcurrentHashMap.putIfAbsent(K, V) с условием "javax.persistence".equals(arg0) тогда я вижу, что javax.persistence отображается на следующее CodeSource значение:

(file:/Users/georgehawkins/.m2/repository/org/eclipse/persistence/javax.persistence/2.2.0/javax.persistence-2.2.0.jar [
[
  Version: V3
  Subject: CN="Eclipse Foundation, Inc.", OU=IT, O="Eclipse Foundation, Inc.", L=Ottawa, ST=Ontario, C=CA
  Signature Algorithm: SHA256withRSA, OID = 1.2.840.113549.1.1.11
  ...

Т.е. javax.persistence-2.2.0.jar подписан Eclipse Foundation и содержит классы в пакете javax.persistence, Этот jar вытягивается, когда какая-то часть моего приложения (на самом деле что-то глубоко в Spring логика) пытается загрузить javax.persistence.EntityManagerFactory,

Если я тогда поставлю точку останова в java.lang.ClassLoader.checkCerts(String, CodeSource) на throw new SecurityException Затем я вижу, что он попадает в эту строку, когда передается в CodeSource является:

(file:/Users/georgehawkins/.m2/repository/org/eclipse/persistence/eclipselink/2.7.0/eclipselink-2.7.0.jar <no signer certificates>)

Т.е. eclipselink-2.7.0.jar также содержат классы, которые находятся в javax.persistence пакет, но он не подписан, поэтому происходит конфликт, который приводит к SecurityException быть брошенным Это происходит, когда что-то (также глубоко в Spring логика) пытается загрузить javax.persistence.PersistenceUtil,

Если я посмотрю на вывод mvn dependency:tree Я вижу, что это несоответствие, кажется, до eclipselink сам по себе - это тянет org.eclipse.persistence:javax.persistence:jar:2.2.0 сам. Т.е. это не противоречие с какой-то другой зависимостью:

[INFO] |  \- org.eclipse.persistence:eclipselink:jar:2.7.0:compile
[INFO] |     +- org.eclipse.persistence:javax.persistence:jar:2.2.0:compile
[INFO] |     +- org.eclipse.persistence:commonj.sdo:jar:2.1.1:compile
[INFO] |     +- javax.validation:validation-api:jar:1.1.0.Final:compile
[INFO] |     \- org.glassfish:javax.json:jar:1.0.4:compile

Я зарегистрировал это сейчас на bugs.eclipse.org - см. Ошибку 525457.

Чтобы устранить эту проблему, вставьте в ваш файл maven pom правильную зависимость, совместимую с JPA 2.2 для EclipseLink 2.7.x, как:

<dependency>
    <groupId>org.eclipse.persistence</groupId>
    <artifactId>org.eclipse.persistence.jpa</artifactId>
    <version>2.7.1</version>
</dependency>

eclipselink.jar как таковой спроектирован как пакет "все в одном", не поддерживающий osgi, содержащий все части проекта eclipselink (т. е. sdo, oracle db вещи, dbws, nosql..) с возможностью запуска с jpa api 2.0 на classpath - по крайней мере, в версии 2.x. Во многих случаях это не требуется, и вместо этого можно использовать надлежащие компоненты, такие как org.eclipse.persistence.jpa, org.eclipse.persistence.oracle и т. Д. Полный список см. По адресу: http://search.maven.org. /#search%7Cga%7C1%7Corg.eclipse.persistence

Эта странная ситуация, кажется, все еще существует, в моем случае я не использую Maven, просто пытаюсь запустить простой пример JPA (и это действительно расстраивает, если вам нужны часы, чтобы просто достичь этого).

В версии 2.7.4 от января эта ошибка возникает, если вы положили eclipselink.jar и jakarta.persistence_2.2.2.jar из zip-файла на путь к классам.

В конце концов решение состояло в том, чтобы изменить порядок на пути к классам: сначала постоянство джакарты, а затем - банку затмения. Таким образом, все классы javax.persistence взяты из jakarta-jar, а не частично из eclipselink-jar (если он там есть).

Поэтому я действительно удивляюсь различным вещам.

Пакет eclipselink должен быть все-в-одном? Но это не так. Некоторые классы javax.persistence содержатся. Другие нет - базовые классы, которые будут использоваться в коде JPA, например EntityManager. Конечно, вместе с jakarta-jar, включенным в почтовый индекс, оно завершено - но вы не можете использовать две банки вместе с "неправильным" порядком на пути к классам!? Я действительно считаю это ошибкой - или, по крайней мере, тогда в пакете должен быть ОГРОМНЫЙ намек на это.

Что такое org.eclipse.persistence.jpa-2.7.4.jar от Maven, который предлагается здесь? У него нет проблем с eclipselink.jar, да, а не это сообщение об ошибке. Но тогда он также, похоже, просто не включает реализацию Eclipselink JPA, по крайней мере, работая с ним, я получил ошибку, что модуль постоянства, на который есть ссылка в коде, не существует (тот же файл persistence.xml, работающий с eclipselink.jar).

Странная ситуация.

Мой проект работал на JDK-8, но перестал работать, когда я обновил его до openJDK-11. Я решил это, исключая jpa-persistence модуль, и добавление снова на версию 2.2:

   dependencies.create('org.eclipse.persistence:eclipselink:2.7.4') {
      exclude module: "javax.persistence"
   },
   'javax.persistence:javax.persistence-api:2.2', //add it again, manually
   'org.eclipse.persistence:org.eclipse.persistence.asm:2.7.4',
   'org.eclipse.persistence:org.eclipse.persistence.antlr:2.7.4',
   'org.eclipse.persistence:org.eclipse.persistence.moxy:2.7.4',
   'org.eclipse.persistence:org.eclipse.persistence.core:2.7.4'

Я исправил это, изменив порядок появления банок в пути к классам. В моем случае я использую Tomcat, и мне пришлось изменить catalina.properties, чтобы поместить javax перед eclipselink.

Ответ Обинны правильный; Я думаю, что была проблема с eclipselink 2.7.x - как указал Джордж. У меня была похожая проблема при обновлении eclipselink, но это были просто неправильные артефакты. Первоначально описанная проблема, кажется, является результатом внешней ссылки на уровень javax.persistence - это определенно не является необходимым.

Правильную конфигурацию maven можно найти в вики eclipselink: https://wiki.eclipse.org/EclipseLink/Maven

Поскольку я не смог найти ответ на эту проблему, используя только Tomcat, и эта ветка часто связана с этой проблемой, я собираюсь опубликовать свое решение здесь:

Поскольку подпись находится в MANIFEST.MF, вы можете изменить подписи в файлах.jar с помощью 7zip или WinRAR, чтобы открыть их, или просто удалить их из файлов META-INF обоих.jar, а затем импортировать измененные файлы в вашу среду IDE.

Полезный поток для проблемы несоответствия подписи - это поток: Java SecurityException: информация о подписавшем не совпадает

Я использую gradle в своей сборке проекта и для решения проблемы OP, которая у меня была, я наконец-то использовал следующую рабочую настройку.

dependencies {

    testImplementation(group: 'org.eclipse.persistence', name: 'eclipselink', version: '2.7.4') {
        exclude group: 'javax.validation', module: 'validation-api'
        exclude group: 'org.eclipse.persistence', module: 'javax.persistence'
        exclude group: 'org.eclipse.persistence', module: 'commonj.sdo'
        exclude group: 'org.eclipse.persistence', module: 'jakarta.persistence'
    }

    testImplementation(group: 'org.eclipse.persistence', name: 'org.eclipse.persistence.jpa', version: '2.7.4') {
        exclude group: 'org.eclipse.persistence', module: 'jakarta.persistence'
    }

}

Вместо "testImplementation" вы можете, конечно, использовать любой тип зависимости, который вам нужен или нужен.

Прочитав комментарий Сергея, я улучшил это, просто используя:

dependencies {
    testImplementation group: 'org.eclipse.persistence', name: 'org.eclipse.persistence.jpa', version: '2.7.4'
}

Я думаю, что последнее является лучшим решением.

Я также сталкиваюсь с этой проблемой, с моим случаем, немного отличающимся, в том, что я не использую Maven. Тем не менее, я размещаю здесь ответ, поскольку он может дать людям представление о том, как справиться с этим в их собственной ситуации. В конце концов, заголовок об этом несоответствии, как правило, один подслучае при использовании Maven.

Я использую eclipselink в проекте NetBeans. Первоначально я помещал оба файла jar eclipselink (eclipselink-2.7.0.jar) и необходимые файлы jar org.eclipse.persistence в качестве внешних библиотек для моего проекта. Комментарии Сергея и entreprenr выше - вот что на самом деле привело меня к решению моей проблемы. Мне нужно было создать новую библиотеку (Инструменты-> Библиотеки-> Новая библиотека...), которая не содержит файл jar eclipselink (т.е. eclipselink-2.7.0.jar не добавляется в библиотеку), только конкретные файлы jar org.eclipse.persistence, необходимые для проекта, например org.eclipse.persistence.antlr-2.7.0.jar, org.eclipse.persistence.asm-2.7.0.jar, org.eclipse.persistence.core-2.7.0.jar, org.eclipse.persistence.jpa.modelgen.processor-2.7.0.jar, org.eclipse.persistence.jpa-2.7.0.jarи т. д. Затем я добавил эту библиотеку в свой проект, и исключение исчезло.

Конечно, мне также пришлось заменить все файлы jar org.eclipse.persistence на моем сервере их версией 2.7.0, а также заменить javax.persistence.jar с его версией 2.2.0 (я использую Payara, так что они расположены под <payara_home>\glassfish\modules).