解决 Http Maven 私仓的依赖包无法下载,提示被 maven-default-http-blocker 拦截
一、环境
- 用到了HTTP接口的Maven私仓
- maven版本是3.8.1级以上
- pom文件已经配置了repository
二、错误信息
才尝试更新pom文件,重新下载依赖,或者,mvn clean compile重新编译的时候,会提示类似下面的错误信息:
[INFO] ------------------------------------------------------------------------
[INFO] BUILD FAILURE
[INFO] ------------------------------------------------------------------------
[INFO] Total time: 1.477 s
[INFO] Finished at: 2023-03-29T09:02:46+08:00
[INFO] ------------------------------------------------------------------------
[ERROR] Failed to execute goal on project app-demo: Could not resolve dependencies for project markvivv:app-demo:jar:3.0.0.RELEASE: The following artifacts could not be resolved: simpleteam:simpleteam:jar:1.0.0 (present, but unavailable): simpleteam:simpleteam:jar:1.0.0 was not found in http://192.168.0.18:8081/ during a previous attempt. This failure was cached in the local repository and resolution is not reattempted until the update interval of maven-default-http-blocker has elapsed or updates are forced -> [Help 1]
[ERROR]
[ERROR] To see the full stack trace of the errors, re-run Maven with the -e switch.
[ERROR] Re-run Maven using the -X switch to enable full debug logging.
[ERROR]
[ERROR] For more information about the errors and possible solutions, please read the following articles:
[ERROR] [Help 1] http://cwiki.apache.org/confluence/display/MAVEN/DependencyResolutionException另一种可能的错误提示:
simpleteam:simpleteam:jar:1.0.0 was not found in http://192.168.0.18:8081/ during a previous attempt. This failure was cached in the local repository and resolution is not reattempted until the update interval of maven-default-http-blocker has elapsed or updates are forced
尝试使用 -U 标记(强制更新快照)运行 Maven 导入错误的提示都指向 maven-default-http-blocker
三、错误原因
这是由于Maven官方为了解决CVE-2021-26291安全问题,在3.8.1版本开始发布这个特性,默认禁止从不安全的仓库下载依赖。
maven官方对CVE-2021-26291说明:
- 由于自定义资源库使用HTTP,可能出现中间人攻击的情况。虽然越来越多的存储库使用HTTPS,但这并不都是这样。这意味着Maven Central包含有通过HTTP引用URL的自定义仓库的POM。这使得通过这类资源库的下载成为MITM攻击(中间人攻击)的目标。同时,开发者可能没有意识到有些下载使用的是不安全的URL。由于上传到Maven Central的POM是不可更改的,因此需要对Maven进行修改。为了解决这个问题,我们用
参数扩展了镜像配置,并增加了一个新的external:http:*镜像选择器(和现有的external:*一样),意思是 "任何使用HTTP的外部URL"。 - 我们决定在默认情况下阻止这样的外部HTTP资源库:这是通过在conf/settings.xml中提供一个阻止不安全的HTTP外部URL的镜像来实现的。
- 由于自定义资源库使用废弃的域名,可能出现域名劫持的情况。Sonatype已经分析了哪些域名被遗弃,并对这些域名进行了认领。
- 可能通过重定向到自定义存储库来劫持下载。这个是最难分析和解释的。简而言之就是:你是安全的,依赖项只在其上下文中从存储库下载。所以有两个主要问题:什么是上下文,什么是顺序?顺序在版本库顺序页上有描述。
- 第一组软件库是在 settings.xml 中定义的(包括用户和全局)。
- 第二组仓库是基于继承性的,最终超级POM包含Maven Central的URL。
- 第三组是最复杂的一组,但对理解语境很重要:从依赖路径到工件的有效POM的资料库。因此,如果一个依赖关系是由另一个依赖关系或Maven项目定义的,也会包括它们的仓库。说到底,这不是一个bug,而是一个设计特性。
所以一切为了安全,maven3.8.1版本开始加上了限制。
四、解决办法
4.1. 删除 maven-default-http-blocker 配置
文件位置在 ${maven.home}/conf/settings.xml 或 ${user.home}/.m2/settings.xml,具体需要删除的内容如下:
maven-default-http-blocker
external:http:*
Pseudo repository to mirror external repositories initially using HTTP.
http://0.0.0.0/
true
但是,这样子删除之后违反了maven添加这样一个特性的初衷,引入了风险项。并且这种设置会要求使用到私仓的客户端都进行修改,如果推广培训不好,每个人都会需要查一遍这个问题,然后才知道要做对应的配置,下面安排第二种方法。
4.2. 创建项目个性化的maven配置,随代码一起提交到代码仓库
在项目的根目录添加一个.mvn的目录,并配置maven.config和local-settings.xml两个文件。
maven 3.8.1以上,maven 3.9以下maven.config文件内容如下:
--settings ./.mvn/local-settings.xmlmaven 3.9及以上版本的maven.config文件内容如下,注意配置项要放到新的一行,否则配置不生效:
--settings
./.mvn/local-settings.xmllocal-settings.xml配置文件内容,注意mirrorOf的ID值需要和pom.xml中的私仓ID一致:
my-repository-http-unblocker
markvivv-repos
http://192.168.7.18:8081/repository/maven-releases
pom.xml中私仓的示例配置,注意ID和.mvn/local-settings.xml中的mirrorOf配置的ID一致:
ovit-repos
markvivv-repos
http://192.168.7.18:8081/repository/maven-releases
true
true
把.mvn目录提交到代码仓库,这样项目的其他开发人员下载到源码的时候,就包含这个配置,不需要再做额外配置。