解决 Http Maven 私仓的依赖包无法下载,提示被 maven-default-http-blocker 拦截

一、环境

  1. 用到了HTTP接口的Maven私仓
  2. maven版本是3.8.1级以上
  3. pom文件已经配置了repository

二、错误信息

才尝试更新pom文件,重新下载依赖,或者,mvn clean compile重新编译的时候,会提示类似下面的错误信息:

[INFO] ------------------------------------------------------------------------
[INFO] BUILD FAILURE
[INFO] ------------------------------------------------------------------------
[INFO] Total time:  1.477 s
[INFO] Finished at: 2023-03-29T09:02:46+08:00
[INFO] ------------------------------------------------------------------------
[ERROR] Failed to execute goal on project app-demo: Could not resolve dependencies for project markvivv:app-demo:jar:3.0.0.RELEASE: The following artifacts could not be resolved: simpleteam:simpleteam:jar:1.0.0 (present, but unavailable): simpleteam:simpleteam:jar:1.0.0 was not found in http://192.168.0.18:8081/ during a previous attempt. This failure was cached in the local repository and resolution is not reattempted until the update interval of maven-default-http-blocker has elapsed or updates are forced -> [Help 1]
[ERROR] 
[ERROR] To see the full stack trace of the errors, re-run Maven with the -e switch.
[ERROR] Re-run Maven using the -X switch to enable full debug logging.
[ERROR] 
[ERROR] For more information about the errors and possible solutions, please read the following articles:
[ERROR] [Help 1] http://cwiki.apache.org/confluence/display/MAVEN/DependencyResolutionException

另一种可能的错误提示: 

simpleteam:simpleteam:jar:1.0.0 was not found in http://192.168.0.18:8081/ during a previous attempt. This failure was cached in the local repository and resolution is not reattempted until the update interval of maven-default-http-blocker has elapsed or updates are forced

尝试使用 -U 标记(强制更新快照)运行 Maven 导入

 错误的提示都指向 maven-default-http-blocker

三、错误原因

这是由于Maven官方为了解决CVE-2021-26291安全问题,在3.8.1版本开始发布这个特性,默认禁止从不安全的仓库下载依赖。

maven官方对CVE-2021-26291说明:

  1. 由于自定义资源库使用HTTP,可能出现中间人攻击的情况。虽然越来越多的存储库使用HTTPS,但这并不都是这样。这意味着Maven Central包含有通过HTTP引用URL的自定义仓库的POM。这使得通过这类资源库的下载成为MITM攻击(中间人攻击)的目标。同时,开发者可能没有意识到有些下载使用的是不安全的URL。由于上传到Maven Central的POM是不可更改的,因此需要对Maven进行修改。为了解决这个问题,我们用参数扩展了镜像配置,并增加了一个新的external:http:*镜像选择器(和现有的external:*一样),意思是 "任何使用HTTP的外部URL"。
  2. 我们决定在默认情况下阻止这样的外部HTTP资源库:这是通过在conf/settings.xml中提供一个阻止不安全的HTTP外部URL的镜像来实现的。
  3. 由于自定义资源库使用废弃的域名,可能出现域名劫持的情况。Sonatype已经分析了哪些域名被遗弃,并对这些域名进行了认领。
  4. 可能通过重定向到自定义存储库来劫持下载。这个是最难分析和解释的。简而言之就是:你是安全的,依赖项只在其上下文中从存储库下载。所以有两个主要问题:什么是上下文,什么是顺序?顺序在版本库顺序页上有描述。
    1. 第一组软件库是在 settings.xml 中定义的(包括用户和全局)。
    2. 第二组仓库是基于继承性的,最终超级POM包含Maven Central的URL。
    3. 第三组是最复杂的一组,但对理解语境很重要:从依赖路径到工件的有效POM的资料库。因此,如果一个依赖关系是由另一个依赖关系或Maven项目定义的,也会包括它们的仓库。说到底,这不是一个bug,而是一个设计特性。

所以一切为了安全,maven3.8.1版本开始加上了限制。

四、解决办法

4.1. 删除 maven-default-http-blocker 配置

文件位置在 ${maven.home}/conf/settings.xml 或 ${user.home}/.m2/settings.xml,具体需要删除的内容如下:

    
      maven-default-http-blocker
      external:http:*
      Pseudo repository to mirror external repositories initially using HTTP.
      http://0.0.0.0/
      true
    

但是,这样子删除之后违反了maven添加这样一个特性的初衷,引入了风险项。并且这种设置会要求使用到私仓的客户端都进行修改,如果推广培训不好,每个人都会需要查一遍这个问题,然后才知道要做对应的配置,下面安排第二种方法。

4.2. 创建项目个性化的maven配置,随代码一起提交到代码仓库

在项目的根目录添加一个.mvn的目录,并配置maven.config和local-settings.xml两个文件。

maven 3.8.1以上,maven 3.9以下maven.config文件内容如下:

--settings ./.mvn/local-settings.xml

maven 3.9及以上版本的maven.config文件内容如下,注意配置项要放到新的一行,否则配置不生效:

--settings
./.mvn/local-settings.xml

local-settings.xml配置文件内容,注意mirrorOf的ID值需要和pom.xml中的私仓ID一致:


    
        
            my-repository-http-unblocker
            markvivv-repos
            
            http://192.168.7.18:8081/repository/maven-releases
        
    

pom.xml中私仓的示例配置,注意ID和.mvn/local-settings.xml中的mirrorOf配置的ID一致:

    
        
            ovit-repos
            markvivv-repos
            http://192.168.7.18:8081/repository/maven-releases
            
                true
            
            
                true
            
        
    

把.mvn目录提交到代码仓库,这样项目的其他开发人员下载到源码的时候,就包含这个配置,不需要再做额外配置。

你可能感兴趣的:(用户指南,Java编程,maven,java)