Maven工程通过pom.xml里的<dependency>来定义依赖项。当然,我们不会少定义依赖项,否则编译不通过。不过,如果我们多定义了依赖项虽然不会造成灾难,但可能会造成一些问题,比如:
- 多余的依赖项造成阅读和理解的困难。
- Spring的@ComponentScan将扫描出多余的组件。特别地,如果这些组件还需要配置才能使用则造成一些意想不到的问题,并且发现和纠正这些问题也比较困难。
- 如果多余的依赖项为compile或runtime作用域,则其它依赖本工程的工程也将依赖这个多余的工程。如果运行时出了问题则更难处理。
因此,我们希望在pom.xml里定义的依赖项不多不少,并且其作用域(<scope>)也恰到好处,刚好满足本工程的需要。问题是该如何进行检查呢?答案是使用maven-dependency-plug插件。
maven-dependency-plugin插件简介
maven-dependency-plugin用于管理依赖项,提供了多个可执行的goal,在此我们只关心其中的analyze和tree两个。
下面是dependency:analyze的一个输出样例片断:
>mvn dependency:analyze
[INFO] --- maven-dependency-plugin:2.8:analyze (default-cli) @ wtp-core --- [WARNING] Used undeclared dependencies found: [WARNING] org.springframework:spring-beans:jar:3.2.3.RELEASE:compile [WARNING] Unused declared dependencies found: [WARNING] junit:junit:jar:4.7:test [WARNING] org.springframework:spring-test:jar:3.2.3.RELEASE:test [WARNING] org.slf4j:jcl-over-slf4j:jar:1.6.1:runtime [WARNING] org.slf4j:slf4j-log4j12:jar:1.6.1:runtime [WARNING] commons-lang:commons-lang:jar:2.5:test
官方文档里说,dependency:analyze是通过分析bytecode来输出报告。上面的输出有两部分,一是Used undeclared dependencies(使用但未定义的依赖项),二是Unused declared dependencies(未使用但却定义的依赖项)。
- Used undeclared dependencies
该列表列出的是程序代码直接用到的、但并没在pom.xml里定义的依赖项。 - Unused declared dependencies
该列表列出的是程序代码没用到的、但在pom.xml里定义的依赖项。注意,该列表可能不准确,因为程序代码可能使用了反射技术,在运行时需要这些jar包存在。
再说说dependency:tree,下面是一个输出样例片断:
>mvn dependency:tree
com.wisetop.wtp:wtp-core:jar:2.2.1-SNAPSHOT +- junit:junit:jar:4.7:test +- org.springframework:spring-test:jar:3.2.3.RELEASE:test +- org.slf4j:slf4j-api:jar:1.6.1:compile +- org.slf4j:jcl-over-slf4j:jar:1.6.1:runtime +- org.slf4j:slf4j-log4j12:jar:1.6.1:runtime | - log4j:log4j:jar:1.2.16:runtime +- org.springframework:spring-core:jar:3.2.3.RELEASE:compile | - commons-logging:commons-logging:jar:1.1.1:provided +- org.springframework:spring-context:jar:3.2.3.RELEASE:compile | +- org.springframework:spring-aop:jar:3.2.3.RELEASE:compile | +- org.springframework:spring-beans:jar:3.2.3.RELEASE:compile | - org.springframework:spring-expression:jar:3.2.3.RELEASE:compile +- org.springframework:spring-tx:jar:3.2.3.RELEASE:compile | - aopalliance:aopalliance:jar:1.0:compile +- org.springframework:spring-context-support:jar:3.2.3.RELEASE:compile +- commons-beanutils:commons-beanutils:jar:1.8.3:compile +- dom4j:dom4j:jar:1.6.1:compile | - xml-apis:xml-apis:jar:1.0.b2:compile +- com.wisetop.extra.oracle:wt-oracle-xdb6:jar:11.2.0.3:compile | - com.wisetop.extra.oracle:wt-oracle-ojdbc6:jar:11.2.0.3:compile +- commons-lang:commons-lang:jar:2.5:test +- org.quartz-scheduler:quartz:jar:1.7.3:compile +- commons-codec:commons-codec:jar:1.4:compile - javax.servlet:javax.servlet-api:jar:3.0.1:provided
该命令列出了各依赖项、以及传递出来的依赖项。通过此命令我们可以识别出依赖项来自何处,特别地,如果你只关心某个特定的依赖项,比如上面的log4j是怎么出来的,你可加上过滤条件:
>mvn dependency:tree -Dincludes=log4j:log4j [INFO] --- maven-dependency-plugin:2.8:tree (default-cli) @ wtp-core --- [INFO] com.wisetop.wtp:wtp-core:jar:2.2.1-SNAPSHOT [INFO] - org.slf4j:slf4j-log4j12:jar:1.6.1:runtime [INFO] - log4j:log4j:jar:1.2.16:runtime
当然,你可以简写为:
>mvn dependency:tree -Dincludes=*:log4j
其输出是一样的。
另外,一个依赖项可能来自多处,你可加上"-Dverbose"参数进行查看。例如,下面的命令将显示spring-core可来自多处:
>mvn dependency:tree -Dincludes=*:spring-core -Dverbose [INFO] --- maven-dependency-plugin:2.8:tree (default-cli) @ wtp-core --- [INFO] com.wisetop.wtp:wtp-core:jar:2.2.1-SNAPSHOT [INFO] +- org.springframework:spring-test:jar:3.2.3.RELEASE:test [INFO] | - (org.springframework:spring-core:jar:3.2.3.RELEASE:test - omitted for duplicate) [INFO] +- org.springframework:spring-core:jar:3.2.3.RELEASE:compile [INFO] +- org.springframework:spring-context:jar:3.2.3.RELEASE:compile [INFO] | +- org.springframework:spring-aop:jar:3.2.3.RELEASE:compile [INFO] | | - (org.springframework:spring-core:jar:3.2.3.RELEASE:compile - omitted for duplicate) [INFO] | +- org.springframework:spring-beans:jar:3.2.3.RELEASE:compile [INFO] | | - (org.springframework:spring-core:jar:3.2.3.RELEASE:compile - omitted for duplicate) [INFO] | +- (org.springframework:spring-core:jar:3.2.3.RELEASE:compile - omitted for duplicate) [INFO] | - org.springframework:spring-expression:jar:3.2.3.RELEASE:compile [INFO] | - (org.springframework:spring-core:jar:3.2.3.RELEASE:compile - omitted for duplicate) [INFO] +- org.springframework:spring-tx:jar:3.2.3.RELEASE:compile [INFO] | - (org.springframework:spring-core:jar:3.2.3.RELEASE:compile - omitted for duplicate) [INFO] - org.springframework:spring-context-support:jar:3.2.3.RELEASE:compile [INFO] - (org.springframework:spring-core:jar:3.2.3.RELEASE:compile - omitted for duplicate)
该输出显示,我们在pom.xml里直接依赖了spring-core,并且告诉我们如果我们不直接依赖spring-core的话则它也可能来自何处。
关于更多使用方法请参见dependency:tree的说明文档,以及过滤依赖树。
使用maven-dependency-plugin对pom.xml文件进行优化
上面说到,优化的目标是不多不少地定义依赖项。不仅依赖项的个数要不多不少,而且依赖项的作用域也要恰到好处。其验证方法是:
- 检查是否少定义了依赖项,即执行mvn clean dependency:analyze后,应
- 没有Used undeclared dependencies列表。
- Unused declared dependencies列表中的依赖项需人工判断是否有必要存在,若无必要则请删除。
特别地,对于其中的compile和test依赖项,如果不需要或能被其它依赖项传递带出则请删除。检查方法是:先删除该依赖项重试。如果重试成功则保持删除,如果不成功则改为test再重试,如果重试不成功则改为compile。如果你熟悉dependency:tree命令,你也可以从该命令的输出直接看到预期的结果。
既然我们的代码没用到那个依赖项,为什么删除该依赖项可能导致编译不通过呢?这可能的原因是我们所依赖的依赖项其本身又依赖了其它依赖项,但它们之间是provided或optional关系,导致不传递依赖。 - 检查是否多定义了依赖项,并检查作用域是否定大了,即执行
mvn clean dependency:analyze -Dmaven.test.skip=true后,应 - 没有Used undeclared dependencies列表。上面第一步通过后,这里肯定不会出现该列表。
- Unused declared dependencies列表中可以含有任意作用域的依赖项。我们需要去检查能否缩小作用域的范围,特别地,需要重点检查compile作用域是否能缩小到test、provided、runtime和system,如果能则改之。
- 以上步骤中如果修改了pom.xml文件,则请回到第一步重新开始验证,以保证优化前能编译通过。
- 执行mvn clean test命令做进一步验证。
需要特别说明的是:
- 上面第一步是检查main/java和test/java中所有的代码,并保证能编译通过、并且没缺少依赖项(即没有Used undeclared dependencies列表),但可能多定了依赖项。
- 第二步比第一步多了“-Dmaven.test.skip=true”参数,使得只生成target/classes、不生成target/test-classes,其含义是仅检查main/java中的代码,其意图是,我们希望找到那些仅被main/java或test/java用到的依赖项,以此尽量缩小作用域、使得作用域定义得恰到好处。
对于某个依赖项, - 如果被main/java用到,则不论是否被test/java用到,其作用域都以main/java为准。
- 如果被test/java用到,并且被main/java间接用到,则作用域也以main/java为准。
请考虑这样一个场景,假设有A、B两个依赖项,并且A依赖于B。如果main/java只用到A、没用到B,而test/java用到B,则需把B定义为与A一样的作用域。需要说明的是,- 如果test/java也没用到B,则根本就不需要定义B。Maven的传递依赖机制将会自动带出B。
- 即使main/java没直接用到B,但编译时可能需要B存在。例如,A中的某个对象继承了B中的对象,并且我们当前又再次继承了A中的这个对象。
- 如果仅被test/java用到,则作用域可定义为test。
- 上面说的“以main/java为准”的含义是保持与Maven的依赖机制相同。
- 上面命令都带上了clean,除非你清楚命令的含义否则不要去掉。特别地,maven-dependency-plugin所分析的不是源程序,而是编译后的bytecode。
- 你可通过执行dependency:tree来查看依赖项出自何处,以及你在pom里定义的依赖项本身又传递出来了哪些其它依赖项。
- 最后,如果你的系统是多模块工程,则最好从底向上逐个优化pom,并且,每当你完成优化了一个工程后不要忘记了执行mvn install,这是因为在你继续到下一个工程时,dependency:analyze只从Maven库中去找其所依赖的pom.xml文件。