Maven 工程通过pom.xml里的<dependency>来定义依赖项。当然,我们不会少定义依赖项,否则编译不通过。不过,如果我们多定义了依赖项虽然不会造成灾难,但可能会造成一些问题,比如:

  • 多余的依赖项造成阅读和理解的困难。
  • Spring的@ComponentScan将扫描出多余的组件。特别地,如果这些组件还需要配置才能使用则造成一些意想不到的问题,并且发现和纠正这些问题也比较困难。
  • 如果多余的依赖项为compile或runtime作用域,则其它依赖本工程的工程也将依赖这个多余的工程。如果运行时出了问题则更难处理。
  • 因此,我们希望在pom.xml里定义的依赖项不多不少,并且其作用域(<scope>)也恰到好处,刚好满足本工程的需要。问题是该如何进行检查呢?答案是使用 maven-dependency-plug 插件。

    maven-dependency-plugin插件简介

    maven-dependency-plugin用于管理依赖项,提供了多个可执行的goal,在此我们只关心其中的analyze和tree两个。

    下面是dependency:analyze的一个输出样例片断:

    >mvn dependency:analyze

    [INFO]
    --- maven-dependency-plugin:2.8:analyze (default-cli) @ wtp-core --- [WARNING] Used undeclared dependencies found: [WARNING] org.springframework:spring-beans:jar:3.2.3.RELEASE:compile [WARNING] Unused declared dependencies found: [WARNING] junit:junit:jar:4.7:test [WARNING] org.springframework:spring-test:jar:3.2.3.RELEASE:test [WARNING] org.slf4j:jcl-over-slf4j:jar:1.6.1:runtime [WARNING] org.slf4j:slf4j-log4j12:jar:1.6.1:runtime [WARNING] commons-lang:commons-lang:jar:2.5:test

    官方文档里说, dependency:analyze 是通过分析bytecode来输出报告。上面的输出有两部分,一是Used undeclared dependencies(使用但未定义的依赖项),二是Unused declared dependencies(未使用但却定义的依赖项)。

  • Used undeclared dependencies
    该列表列出的是程序代码直接用到的、但并没在pom.xml里定义的依赖项。
  • Unused declared dependencies
    该列表列出的是程序代码没用到的、但在pom.xml里定义的依赖项。注意,该列表可能不准确,因为程序代码可能使用了反射技术,在运行时需要这些jar包存在。
  • 再说说dependency:tree,下面是一个输出样例片断:

    >mvn dependency:tree

    com.wisetop.wtp:wtp-core:jar:2.2.1-SNAPSHOT +- junit:junit:jar:4.7:test +- org.springframework:spring-test:jar:3.2.3.RELEASE:test +- org.slf4j:slf4j-api:jar:1.6.1:compile +- org.slf4j:jcl-over-slf4j:jar:1.6.1:runtime +- org.slf4j:slf4j-log4j12:jar:1.6.1:runtime | \- log4j:log4j:jar:1.2.16:runtime +- org.springframework:spring-core:jar:3.2.3.RELEASE:compile | \- commons-logging:commons-logging:jar:1.1.1:provided +- org.springframework:spring-context:jar:3.2.3.RELEASE:compile | +- org.springframework:spring-aop:jar:3.2.3.RELEASE:compile | +- org.springframework:spring-beans:jar:3.2.3.RELEASE:compile | \- org.springframework:spring-expression:jar:3.2.3.RELEASE:compile +- org.springframework:spring-tx:jar:3.2.3.RELEASE:compile | \- aopalliance:aopalliance:jar:1.0:compile +- org.springframework:spring-context-support:jar:3.2.3.RELEASE:compile +- commons-beanutils:commons-beanutils:jar:1.8.3:compile +- dom4j:dom4j:jar:1.6.1:compile | \- xml-apis:xml-apis:jar:1.0.b2:compile +- com.wisetop.extra.oracle:wt-oracle-xdb6:jar:11.2.0.3:compile | \- com.wisetop.extra.oracle:wt-oracle-ojdbc6:jar:11.2.0.3:compile +- commons-lang:commons-lang:jar:2.5:test +- org.quartz-scheduler:quartz:jar:1.7.3:compile +- commons-codec:commons-codec:jar:1.4:compile \- javax.servlet:javax.servlet-api:jar:3.0.1:provided

    该命令列出了各依赖项、以及传递出来的依赖项。通过此命令我们可以识别出依赖项来自何处,特别地,如果你只关心某个特定的依赖项,比如上面的log4j是怎么出来的,你可加上过滤条件:

    >mvn dependency:tree -Dincludes=log4j:log4j
    [INFO] --- maven-dependency-plugin:2.8:tree (default-cli) @ wtp-core ---
    [INFO] com.wisetop.wtp:wtp-core:jar:2.2.1-SNAPSHOT
    [INFO] \- org.slf4j:slf4j-log4j12:jar:1.6.1:runtime
    [INFO]    \- log4j:log4j:jar:1.2.16:runtime

    当然,你可以简写为:

    >mvn dependency:tree -Dincludes=*:log4j

    其输出是一样的。

    另外,一个依赖项可能来自多处,你可加上"-Dverbose"参数进行查看。例如,下面的命令将显示spring-core可来自多处:

    >mvn dependency:tree -Dincludes=*:spring-core -Dverbose
    [INFO] --- maven-dependency-plugin:2.8:tree (default-cli) @ wtp-core ---
    [INFO] com.wisetop.wtp:wtp-core:jar:2.2.1-SNAPSHOT
    [INFO] +- org.springframework:spring-test:jar:3.2.3.RELEASE:test
    [INFO] |  \- (org.springframework:spring-core:jar:3.2.3.RELEASE:test - omitted for duplicate)
    [INFO] +- org.springframework:spring-core:jar:3.2.3.RELEASE:compile
    [INFO] +- org.springframework:spring-context:jar:3.2.3.RELEASE:compile
    [INFO] |  +- org.springframework:spring-aop:jar:3.2.3.RELEASE:compile
    [INFO] |  |  \- (org.springframework:spring-core:jar:3.2.3.RELEASE:compile - omitted for duplicate)
    [INFO] |  +- org.springframework:spring-beans:jar:3.2.3.RELEASE:compile
    [INFO] |  |  \- (org.springframework:spring-core:jar:3.2.3.RELEASE:compile - omitted for duplicate)
    [INFO] |  +- (org.springframework:spring-core:jar:3.2.3.RELEASE:compile - omitted for duplicate)
    [INFO] |  \- org.springframework:spring-expression:jar:3.2.3.RELEASE:compile
    [INFO] |     \- (org.springframework:spring-core:jar:3.2.3.RELEASE:compile - omitted for duplicate)
    [INFO] +- org.springframework:spring-tx:jar:3.2.3.RELEASE:compile
    [INFO] |  \- (org.springframework:spring-core:jar:3.2.3.RELEASE:compile - omitted for duplicate)
    [INFO] \- org.springframework:spring-context-support:jar:3.2.3.RELEASE:compile
    [INFO]    \- (org.springframework:spring-core:jar:3.2.3.RELEASE:compile - omitted for duplicate)

    该输出显示,我们在pom.xml里直接依赖了spring-core,并且告诉我们如果我们不直接依赖spring-core的话则它也可能来自何处。

    关于更多使用方法请参见 dependency:tree 的说明文档,以及 过滤依赖树

    使用maven-dependency-plugin对pom.xml文件进行优化

    上面说到,优化的目标是不多不少地定义依赖项。不仅依赖项的个数要不多不少,而且依赖项的作用域也要恰到好处。其验证方法是:

  • 检查是否少定义了依赖项,即执行mvn clean dependency:analyze后,应
  • 没有Used undeclared dependencies列表。
  • Unused declared dependencies列表中的依赖项需人工判断是否有必要存在,若无必要则请删除。

    特别地,对于其中的compile和test依赖项,如果不需要或能被其它依赖项传递带出则请删除。检查方法是:先删除该依赖项重试。如果重试成功则保持删除,如果不成功则改为test再重试,如果重试不成功则改为compile。如果你熟悉dependency:tree命令,你也可以从该命令的输出直接看到预期的结果。

    既然我们的代码没用到那个依赖项,为什么删除该依赖项可能导致编译不通过呢?这可能的原因是我们所依赖的依赖项其本身又依赖了其它依赖项,但它们之间是provided或optional关系,导致不传递依赖。
  • 检查是否多定义了依赖项,并检查作用域是否定大了,即执行
    mvn clean dependency:analyze -Dmaven.test.skip=true后,应
  • 没有Used undeclared dependencies列表。上面第一步通过后,这里肯定不会出现该列表。
  • Unused declared dependencies列表中可以含有任意作用域的依赖项。我们需要去检查能否缩小作用域的范围,特别地,需要重点检查compile作用域是否能缩小到test、provided、runtime和system,如果能则改之。
  • 以上步骤中如果修改了pom.xml文件,则请回到第一步重新开始验证,以保证优化前能编译通过。
  • 执行mvn clean test命令做进一步验证。
  • 需要特别说明的是:

  • 上面第一步是检查main/java和test/java中所有的代码,并保证能编译通过、并且没缺少依赖项(即没有Used undeclared dependencies列表),但可能多定了依赖项。
  • 第二步比第一步多了“-Dmaven.test.skip=true”参数,使得只生成target/classes、不生成target/test-classes,其含义是仅检查main/java中的代码,其意图是,我们希望找到那些仅被main/java或test/java用到的依赖项,以此尽量缩小作用域、使得作用域定义得恰到好处。

    对于某个依赖项,
  • 如果被main/java用到,则不论是否被test/java用到,其作用域都以main/java为准。
  • 如果被test/java用到,并且被main/java间接用到,则作用域也以main/java为准

    请考虑这样一个场景,假设有A、B两个依赖项,并且A依赖于B。如果main/java只用到A、没用到B,而test/java用到B,则需把B定义为与A一样的作用域。需要说明的是,
  • 如果test/java也没用到B,则根本就不需要定义B。Maven的传递依赖机制将会自动带出B。
  • 即使main/java没直接用到B,但编译时可能需要B存在。例如,A中的某个对象继承了B中的对象,并且我们当前又再次继承了A中的这个对象。
  • 上面命令都带上了clean,除非你清楚命令的含义否则不要去掉。特别地,maven-dependency-plugin所分析的不是源程序,而是编译后的bytecode。
  • 你可通过执行dependency:tree来查看依赖项出自何处,以及你在pom里定义的依赖项本身又传递出来了哪些其它依赖项。
  • 最后,如果你的系统是 多模块 工程,则最好从底向上逐个优化pom,并且,每当你完成优化了一个工程后不要忘记了执行mvn install,这是因为在你继续到下一个工程时,dependency:analyze只从Maven库中去找其所依赖的pom.xml文件。
  •