快捷導(dǎo)航

解決Spring?Security升級(jí)到5.5.7、5.6.4及以上啟動(dòng)報(bào)錯(cuò)出現(xiàn)版本不兼容的問題

更新時(shí)間：2024年08月14日 09:29:30 作者：Master_Shifu_

這篇文章主要介紹了解決Spring?Security升級(jí)到5.5.7、5.6.4及以上啟動(dòng)報(bào)錯(cuò)出現(xiàn)版本不兼容的問題,具有很好的參考價(jià)值,希望對(duì)大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教

1.背景

版本比對(duì)檢測(cè)原理：檢查當(dāng)前系統(tǒng)中spring-security-web版本是否在漏洞版本范圍內(nèi)|版本比對(duì)檢測(cè)結(jié)果：- spring-security-web

當(dāng)前安裝版本：5.2.1.RELEASE

需要升級(jí)到 5.5.7、5.6.4 及以上版本，因?yàn)閜om中找不到直接引用的位置，所以加入以下依賴將spring-security-web版本強(qiáng)制升級(jí)到5.5.7

    <!-- 修復(fù)spring-security-web版本漏洞 -->
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-web</artifactId>
        <version>5.5.7</version>
    </dependency>

啟動(dòng)時(shí)報(bào)錯(cuò)，報(bào)錯(cuò)內(nèi)容如下：

***************************
APPLICATION FAILED TO START
***************************

Description:

An attempt was made to call a method that does not exist. The attempt was made from the following location:

org.springframework.security.web.util.matcher.OrRequestMatcher.<init>(OrRequestMatcher.java:43)

The following method did not exist:

org.springframework.util.Assert.noNullElements(Ljava/util/Collection;Ljava/lang/String;)V

The method's class, org.springframework.util.Assert, is available from the following locations:

jar:file:/C:/Users/sutpc/.m2/repository/org/springframework/spring-core/5.1.18.RELEASE/spring-core-5.1.18.RELEASE.jar!/org/springframework/util/Assert.class

It was loaded from the following location:

file:/C:/Users/sutpc/.m2/repository/org/springframework/spring-core/5.1.18.RELEASE/spring-core-5.1.18.RELEASE.jar

2.原因分析

可以發(fā)現(xiàn)spring包版本不兼容導(dǎo)致該問題

理論上是spring-security-web是在某一個(gè)jar引入

單獨(dú)改了spring-security-web的版本

導(dǎo)致這個(gè)jar中的配套代碼不兼容導(dǎo)致的問題

3.解決方式

將spring-boot-dependencies的2.1.17.RELEASE升級(jí)到2.2.2.RELEASE
            <!-- SpringBoot的依賴配置-->
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-dependencies</artifactId>
<!--                <version>2.1.17.RELEASE</version>-->
                <version>2.2.2.RELEASE</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
在pom的最后直接使用spring-security-web的5.5.7強(qiáng)制覆蓋版本即可
        <!-- 修復(fù)spring-security-web版本漏洞 -->
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>5.5.7</version>
        </dependency>

4.解決思路

因?yàn)閱为?dú)改了spring-security-web的版本

導(dǎo)致這個(gè)jar中的配套代碼不兼容導(dǎo)致的問題

所以首要問題需要找到spring-security-web由哪個(gè)jar引入的

4.1查詢Maven 項(xiàng)目查找 jar 包是由哪個(gè)依賴引入的

直接使用mvn dependency:tree可以查看項(xiàng)目完整的依賴樹。

1.命令格式

mvn dependency:tree -Dverbose -Dincludes=要查詢的內(nèi)容(groupId:artifactId)

-dependency:tree：表示樹狀顯示。
-Dverbose：表示可以顯示所有的引用，包括因?yàn)槎啻我弥貜?fù)而忽略的。
-Dincludes：可以制定查詢條件

spring-security-web的groupId和artifactId為：

groupId: org.springframework.security
artifactId: spring-security-web
所以命令為
mvn dependency:tree -Dverbose -Dincludes=org.springframework.security:spring-security-web