Shiro升级到1.12.0踩坑记：Maven编译时Spring 6.0.10依赖鬼畜回滚的诡异解法

Shiro 1.12.0升级实战：破解Spring依赖幽灵回滚之谜

最近在将项目中的Shiro从1.10.0升级到1.12.0版本时，遭遇了一个令人抓狂的问题——每次编译后，明明已经删除的Spring 6.0.10依赖总会神秘地重新出现，导致编译失败。这个问题困扰了我整整两天，最终通过一系列排查找到了解决方案。本文将详细记录这个问题的发现、分析和解决过程，希望能帮助遇到类似困境的开发者少走弯路。

1. 问题现象与初步排查

升级Shiro版本后，项目突然无法编译，报错信息显示"类文件具有错误的版本61.0，应为52.0"。这个错误通常意味着Java版本不匹配——61.0对应Java 17，而52.0对应Java 8。

奇怪的是，报错指向的并非Shiro相关类，而是Spring框架的某些类。检查依赖树发现，项目中不知何时引入了Spring 6.0.10版本，而我们的项目基于Java 8构建，显然无法兼容Spring 6.x（需要Java 17+）。

关键异常表现：

• 编译时报错指向Spring 6.0.10类文件
• 手动删除Maven本地仓库中的6.0.10依赖后，重新编译时这些依赖又会自动出现
• 项目pom.xml中并未显式声明Spring 6.0.10版本

2. 深入分析与问题定位

2.1 依赖树分析

首先使用Maven命令查看完整的依赖树：

mvn dependency:tree -Dverbose

在输出中发现了可疑的条目：

[INFO] +- org.apache.shiro:shiro-spring:jar:1.12.0:compile [INFO] | \- org.springframework:spring-context:jar:6.0.10:compile

这表明shiro-spring 1.12.0默认引入了Spring 6.x依赖，而我们的项目基础Spring版本是5.x。

2.2 版本冲突排查

检查项目的父pom和主要依赖管理配置，发现我们使用的是Spring Boot 2.7.x，对应的Spring框架版本应该是5.3.x。理论上，Maven应该优先使用我们在dependencyManagement中定义的版本。

版本控制关键点：

• Spring Boot 2.7.x默认管理Spring 5.3.x版本
• Shiro 1.12.0声明了对Spring 6.x的可选依赖
• 某些情况下Maven可能会错误解析这些可选依赖

2.3 幽灵依赖的来源

通过BeyondCompare对比正常和异常状态的pom.xml，发现每次编译后，项目构建文件中会神秘地添加以下内容：

<dependency> <groupId>org.springframework</groupId> <artifactId>spring-core</artifactId> <version>6.0.10</version> </dependency>

这解释了为什么删除的依赖会不断重现——IDE或构建工具在检测到"缺失"依赖时自动添加了它们。

3. 解决方案与实施步骤

3.1 显式排除冲突依赖

在shiro-spring依赖中显式排除Spring相关依赖：

<dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.12.0</version> <exclusions> <exclusion> <groupId>org.springframework</groupId> <artifactId>*</artifactId> </exclusion> </exclusions> </dependency>

3.2 清理和锁定版本

执行完整的清理流程：

1. 删除本地Maven仓库中所有Spring 6.0.10相关文件
2. 在IDE中清除项目缓存并重新导入Maven项目
3. 确保所有Spring依赖版本在dependencyManagement中明确指定

<dependencyManagement> <dependencies> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-framework-bom</artifactId> <version>5.3.23</version> <type>pom</type> <scope>import</scope> </dependency> </dependencies> </dependencyManagement>

3.3 防止IDE自动添加依赖

在IntelliJ IDEA中关闭自动依赖添加功能：

1. 进入设置 → Build, Execution, Deployment → Build Tools → Maven → Importing
2. 取消勾选"Automatically download"相关选项
3. 同样检查Eclipse或VS Code的相关设置

4. 问题根源与预防措施

4.1 依赖解析机制剖析

这个问题暴露了Maven依赖解析的几个关键点：

1. 可选依赖的传递性：虽然Shiro声明Spring依赖为optional，但在某些情况下仍可能被解析
2. 版本冲突解决策略：当不同路径引入同一依赖的不同版本时，Maven的解决策略可能不符合预期
3. IDE的"智能"干预：IDE的好意有时会带来麻烦，特别是自动添加依赖的功能

4.2 长期预防方案

为避免类似问题再次发生，建议：

• 在团队中建立统一的依赖管理规范
• 使用BOM文件统一管理第三方依赖版本
• 定期执行mvn dependency:analyze检查异常依赖
• 在CI流程中加入依赖版本一致性检查

# 示例检查命令 mvn versions:display-dependency-updates mvn versions:display-plugin-updates

5. 经验总结与延伸思考

这次排查经历让我深刻认识到依赖管理的重要性。在现代Java开发中，随着Spring生态和各类框架的快速发展，版本兼容性问题变得越来越复杂。

几个关键教训：

1. 不要轻信自动修复：IDE或构建工具提供的自动修复方案可能引入新问题
2. 保持构建环境纯净：定期清理本地仓库和构建缓存能避免很多诡异问题
3. 理解工具的工作原理：深入了解Maven依赖解析机制，比盲目尝试更有效

对于大型项目，考虑采用更现代的构建工具如Gradle，它提供了更灵活的依赖解析策略。另外，将关键依赖版本锁定在BOM文件中，可以大大减少这类问题的发生概率。