2

为什么 Gradle 将我的库的传递依赖更改为更新版本?我如何让它停止?

细节

我正在为我的公司开发一个使用 Spring Security 的内部插件库。该插件显式声明了对最新版本 Spring Security 4 的依赖:

    compile ('org.springframework.security:spring-security-core:4.2.13.RELEASE') {
        force = true
    }

当我在客户端项目中包含插件时,Gradle 正在将我从 spring security 4 升级到 5,这会破坏插件。

    compile 'com.mycompany:my-security-plugin:0.3.0-SNAPSHOT'

这是客户端项目中dependencyInsight的输出:

> Task :dependencyInsight
org.springframework.security:spring-security-core:5.1.6.RELEASE (selected by rule)
   variant "compile" [
      org.gradle.status             = release (not requested)
      org.gradle.usage              = java-api
      org.gradle.component.category = library (not requested)
   ]

org.springframework.security:spring-security-core:5.1.6.RELEASE
+--- org.springframework.security:spring-security-config:5.1.6.RELEASE
|    \--- com.mycompany:my-security-plugin:0.3.0-SNAPSHOT:20200122.162056-4 (requested org.springframework.security:spring-security-config:4.2.13.RELEASE)
|         \--- compileClasspath
\--- org.springframework.security:spring-security-web:5.1.6.RELEASE
     \--- com.mycompany:my-security-plugin:0.3.0-SNAPSHOT:20200122.162056-4 (requested org.springframework.security:spring-security-web:4.2.13.RELEASE) (*)

org.springframework.security:spring-security-core:4.2.13.RELEASE -> 5.1.6.RELEASE
\--- com.mycompany:my-security-plugin:0.3.0-SNAPSHOT:20200122.162056-4
     \--- compileClasspath

在我看来,在所有情况下,我都在我的配置中请求 spring security 4。我究竟做错了什么?

我正在使用 Gradle 5.1.1。

更新

作为一种解决方法,可以让客户端应用程序使用特定版本声明对 Spring Security 的直接依赖。如果可能的话,我会尽量避免这种情况。

更新 2

输出gradlew dependencyInsight --dependency org.springframework.security:spring-security-web

> Task :dependencyInsight
org.springframework.security:spring-security-web:5.1.6.RELEASE (selected by rule)
   variant "compile" [
      org.gradle.status             = release (not requested)
      org.gradle.usage              = java-api
      org.gradle.component.category = library (not requested)
   ]

org.springframework.security:spring-security-web:4.2.13.RELEASE -> 5.1.6.RELEASE
\--- com.mycompany:my-security-plugin:0.3.0-SNAPSHOT:20200122.162056-4
     \--- compileClasspath

更新 3

buildEnvironment 通过 grails 包括以下内容:

 +--- org.springframework.boot:spring-boot-gradle-plugin:2.1.9.RELEASE
|    |    +--- org.springframework.boot:spring-boot-loader-tools:2.1.9.RELEASE (*)
|    |    +--- io.spring.gradle:dependency-management-plugin:1.0.8.RELEASE
4

1 回答 1

1

假设您使用 Spring Dependency Management Plugin ( io.spring.dependency-management) 以及 Spring Boot Gradle Plugin ( org.springframework.boot),我是否正确?spring-security-core然后,无论您的构建设置请求的其他部分如何,这种组合很可能还会为您管理最终版本。

演示问题的最小设置

我有以下两个 Gradle 版本并排放置(为简洁起见,省略了 Gradle 5.1.1 Wrapper 文件):

my-security-plugin
└── build.gradle
my-client
├── build.gradle
└── settings.gradle

从内部运行以下 Gradle 命令my-client会给我(大致)与 OP 问题中相同的输出:

./gradlew dependencyInsight --configuration compile --dependency org.springframework.security:spring-security-core

my-security-plugin/build.gradle

plugins {
    id 'java'
}

group = 'com.mycompany'
version = '0.3.0-SNAPSHOT'

repositories {
    jcenter()
}

dependencies {
    compile ('org.springframework.security:spring-security-core:4.2.13.RELEASE') {
        force = true
    }
    compile 'org.springframework.security:spring-security-config:4.2.13.RELEASE'
    compile 'org.springframework.security:spring-security-web:4.2.13.RELEASE'
}

my-client/build.gradle

plugins {
    id 'java'
    id 'org.springframework.boot' version '2.1.7.RELEASE'
    id 'io.spring.dependency-management' version '1.0.9.RELEASE'
}

group = 'com.mycompany'
version = '1.0.0'

repositories {
    jcenter()
}

dependencies {
    implementation 'org.springframework.boot:spring-boot-starter-security'
    compile 'com.mycompany:my-security-plugin:0.3.0-SNAPSHOT'
}

my-client/settings.gradle

includeBuild '../my-security-plugin'

该文件仅用于定义 Gradle 复合构建;includeBuild不会出现在生产版本中,您宁愿将其发布到下载它的my-security-plugin某个存储库。my-client

问题的可能解决方案

正如介绍中提到的,Spring Dependency Management Plugin 和 Spring Boot Gradle Plugin 的组合定义了spring-security-core您构建的版本。除了您自己的解决方法之外,还有三种可能获得您想要的版本:

  1. 使用选择spring-security-core您需要的相同版本的 Spring Boot 版本:id 'org.springframework.boot' version '1.5.22.RELEASE'
  2. 通过在构建中设置额外的属性来自定义托管版本:ext['spring-security.version'] = '4.2.13.RELEASE'
  3. 根本不要让 Spring 管理您的依赖项……</li>

所有这些解决方案显然都有缺点:

  • 解决方案 1 强制您使用旧的 Spring Boot 版本
  • 解决方案 2 强制您在客户端应用程序中请求所需版本的传递依赖项(这类似于您自己想要避免的解决方法)
  • 解决方案 3 可能不值得手动管理所有 Spring 依赖项所产生的额外工作

现在你只需要选择较小的邪恶;-)

于 2020-02-08T15:39:03.167 回答