我继承了一个在 POM.xml 中有这个的 java 项目:
<properties>
<jjwt.version>0.11.1</jjwt.version>
</properties>
// from https://github.com/jwtk/jjwt#maven
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-api</artifactId>
<version>${jjwt.version}</version>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-impl</artifactId>
<version>${jjwt.version}</version>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-jackson</artifactId> <!-- or jjwt-gson if Gson is preferred -->
<version>${jjwt.version}</version>
<scope>runtime</scope>
</dependency>
// what is this "jjwt" dep, and why might it be using a different version?
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
这个“jjwt”dep 是什么,为什么它可能使用不同的版本?
我在https://github.com/jwtk/jjwt 上没有看到任何提及
在 JJWT 0.10.0 版本之前,API 和实现都打包为一个工件,io.jsonwebtoken:jjwt.
从 0.10.0 版本开始,API 和实现分为两个不同的工件。
JJWT 的新模块化设计利用了编译依赖项和运行时依赖项之间的区别,以确保您只依赖可以在应用程序中安全使用的公共 API。所有内部/私有实现类都已移至新的 jjwt-impl 运行时依赖项。
如果您过去依赖任何内部实现类,则有两种选择:
重构您的代码以使用 jjwt-api .jar 中的公共 API 类和接口。您可能在内部实现中使用的任何功能都应该通过该 .jar 中更新的更清晰的接口和帮助程序类提供。
指定新的 jjwt-impl .jar 不是作为运行时依赖,而是作为编译依赖。这将使您升级到 JJWT 0.10.0 完全向后兼容,但您需要自担风险。JJWT 将在 jjwt-impl .jar 中做出无语义版本兼容性保证。然而,在所有其他 JJWT 依赖项中将非常小心地遵守语义版本控制。
我的猜测是您的项目团队没有完成从 JJWT <= 0.9 到 JJWT >= 0.10 的升级。