【分享排雷经历】系统引入Apache-Tika产生的NoClassDefFoundError错误

今天，我们的重点工作是对monorepo系统的文件导入做安全控制，主要是通过判断文件的扩展名和类型，来限定用户导入文件的合法性，防止非法文件进入系统造成风险。
我们借用了此前在另一个系统zfquan基于Apache Tika的解决方案。
不巧，在运行main程序时，出现了一个 NoClassDefFoundError 错误-未找到Apache Commons IO（commons-io）类库的一个class的定义。

1. 20:25:14.667 [main] DEBUG org.apache.tika.config.TikaConfig - loading tika config from defaults; no config file specified
2. Exception in thread "main" java.lang.NoClassDefFoundError: org/apache/commons/io/input/UnsynchronizedByteArrayInputStream
3.         at org.apache.tika.config.TikaConfig.getDefaultMimeTypes(TikaConfig.java:317)
4.         at org.apache.tika.config.TikaConfig.<init>(TikaConfig.java:246)
5.         at org.apache.tika.config.TikaConfig.getDefaultConfig(TikaConfig.java:390)
6.         at org.apache.tika.Tika.<init>(Tika.java:119)
7.         at com.emax.zhenghe.common.util.TikaFileSecurityUtils.<init>(TikaFileSecurityUtils.java:20)
8.         at com.emaxcard.car.TestMain.main(TestMain.java:38)
9. Caused by: java.lang.ClassNotFoundException: org.apache.commons.io.input.UnsynchronizedByteArrayInputStream
10.         at java.net.URLClassLoader.findClass(URLClassLoader.java:387)
11.         at java.lang.ClassLoader.loadClass(ClassLoader.java:418)
12.         at sun.misc.Launcher$AppClassLoader.loadClass(Launcher.java:352)
13.         at java.lang.ClassLoader.loadClass(ClassLoader.java:351)
14.         ... 6 more
16. Process finished with exit code 1

复制代码

NoClassDefFoundError（而不是 ClassNotFoundException） 表示编译时类存在，但运行时找不到。
常见原因：

• 依赖未正确引入。
  
• 依赖冲突导致类加载失败。
  
• 打包时遗漏了 commons-io.jar（如 maven-shade-plugin 未正确包含依赖）。
  

同样的Tika，为什么搬到monorepo就不行了呢？
经查maven依赖，monorepo系统与zfquan系统所依赖的 commons-io 的版本不同，zfquan是2.16.1，monorepo是2.6，这导致了问题的发生。

与单体结构的zfquan所不同的是，monorepo是一个庞大的同时拥有基础lib库和上层应用的工程。我们是在lib库的 sby-component-dfs 包 中添加的Tika依赖。
我尝试在其中一个应用层pom里显式添加 commons-io:2.16.1，是可以解决问题的。
但，monorepo有多达数十个应用，我显然不能在这么多应用层里显式添加 commons-io:2.16.1 依赖。而且，这不符合我们的系统开发规范————maven包依赖统一在顶层pom来管理。
那么，如何继续解决呢？
通过应用的maven依赖树（dependency:tree）得知，commons-io:commons-io:jar:2.6 是直接作为顶层依赖引入的（没有被其他库传递依赖）
然后我在IDE中全局查找 commons-io，发现在顶层maven依赖管理文件 spring-base.pom 中，的确显式定义了 commons-io 的版本号！

1. <properties>
2.     ...
3.         <commons.version>2.6</commons.version>
4. </properties>
6. <dependencyManagement>
7.     <dependencies>
8.         ...
9.         <dependency>
10.             <groupId>commons-io</groupId>
11.             commons-io</artifactId>
12.             <version>${commons.version}</version>
13.         </dependency>
14.     </dependencies>
15. </dependencyManagement>

复制代码

如此，我把这个版本号变更为 2.16.1 ，也是可以解决问题的。
但，monorepo项目庞大，这样可能会拆东墙补西墙————可能影响其他用到commons-io的系统功能。
so，我们得针对 Tika 版本来做文章，找到适配 commons-io:2.6 的版本。
DeepSeek很快给出答案：Tika 2.4.1依赖commons-io:2.6。开发者将 Tika 版本从 2.9.1 降级到 2.4.1，不再出现NoClassDefFoundError错误，并且经测试，这个版本的Tika可以满足我们对系统文件导入的安全控制。

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

感谢分享

东西不错很实用谢谢分享

感谢发布原创作品，程序园因你更精彩

鼓励转贴优秀软件安全工具和文档！

谢谢分享，试用一下

懂技术并乐意极积无私分享的人越来越少。珍惜

感谢分享，下载保存了，貌似很强大

前排留名，哈哈哈

谢谢分享，辛苦了

谢谢分享，试用一下

很好很强大  我过来先占个楼 待编辑

感谢发布原创作品，程序园因你更精彩

yyds。多谢分享

喜欢鼓捣这些软件，现在用得少，谢谢分享！

感谢分享

感谢分享，下载保存了，貌似很强大

谢谢楼主提供！

东西不错很实用谢谢分享

这个好，看起来很实用