Java mockito vs密封包装

我正在做一个安全性很强的项目。 一个要求是密封我们的罐子

由于我们密封了JAR，我们的许多junit测试都失败了，出现以下错误：

java.lang.SecurityException: sealing violation: package [a.dependency.package] is sealed
    at java.net.URLClassLoader.defineClass(URLClassLoader.java:234)
    at java.net.URLClassLoader.access$000(URLClassLoader.java:58)
    at java.net.URLClassLoader$1.run(URLClassLoader.java:197)
    at java.security.AccessController.doPrivileged(Native Method)
    at java.net.URLClassLoader.findClass(URLClassLoader.java:190)
    at java.lang.ClassLoader.loadClass(ClassLoader.java:306)
    at sun.misc.Launcher$AppClassLoader.loadClass(Launcher.java:301)
    at java.lang.ClassLoader.loadClass(ClassLoader.java:247)
    at java.lang.Class.getDeclaredMethods0(Native Method)
    at java.lang.Class.privateGetDeclaredMethods(Class.java:2427)
    at java.lang.Class.getDeclaredMethods(Class.java:1791)
    at org.mockito.cglib.core.ReflectUtils.addAllMethods(ReflectUtils.java:349)
    at org.mockito.cglib.proxy.Enhancer.getMethods(Enhancer.java:422)
    at org.mockito.cglib.proxy.Enhancer.generateClass(Enhancer.java:457)
    at org.mockito.cglib.core.DefaultGeneratorStrategy.generate(DefaultGeneratorStrategy.java:25)
    at org.mockito.cglib.core.AbstractClassGenerator.create(AbstractClassGenerator.java:217)
    at org.mockito.cglib.proxy.Enhancer.createHelper(Enhancer.java:378)
    at org.mockito.cglib.proxy.Enhancer.createClass(Enhancer.java:318)
    at org.mockito.internal.creation.jmock.ClassImposterizer.createProxyClass(ClassImposterizer.java:93)
    at org.mockito.internal.creation.jmock.ClassImposterizer.imposterise(ClassImposterizer.java:50)
    at org.mockito.internal.util.MockUtil.createMock(MockUtil.java:54)
    at org.mockito.internal.MockitoCore.mock(MockitoCore.java:45)
    at org.mockito.Mockito.spy(Mockito.java:991)
    at [...]
    at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
    at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)
    at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
    at java.lang.reflect.Method.invoke(Method.java:597)
    at org.junit.runners.model.FrameworkMethod$1.runReflectiveCall(FrameworkMethod.java:44)
    at org.junit.internal.runners.model.ReflectiveCallable.run(ReflectiveCallable.java:15)
    at org.junit.runners.model.FrameworkMethod.invokeExplosively(FrameworkMethod.java:41)
    at org.junit.internal.runners.statements.RunBefores.evaluate(RunBefores.java:27)
    at org.junit.runners.BlockJUnit4ClassRunner.runNotIgnored(BlockJUnit4ClassRunner.java:79)
    at org.junit.runners.BlockJUnit4ClassRunner.runChild(BlockJUnit4ClassRunner.java:71)
    at org.junit.runners.BlockJUnit4ClassRunner.runChild(BlockJUnit4ClassRunner.java:49)
    at org.junit.runners.ParentRunner$3.run(ParentRunner.java:193)
    at org.junit.runners.ParentRunner$1.schedule(ParentRunner.java:52)
    at org.junit.runners.ParentRunner.runChildren(ParentRunner.java:191)
    at org.junit.runners.ParentRunner.access$000(ParentRunner.java:42)
    at org.junit.runners.ParentRunner$2.evaluate(ParentRunner.java:184)
    at org.junit.runners.ParentRunner.run(ParentRunner.java:236)
    at org.eclipse.jdt.internal.junit4.runner.JUnit4TestReference.run(JUnit4TestReference.java:50)
    at org.eclipse.jdt.internal.junit.runner.TestExecution.run(TestExecution.java:38)
    at org.eclipse.jdt.internal.junit.runner.RemoteTestRunner.runTests(RemoteTestRunner.java:467)
    at org.eclipse.jdt.internal.junit.runner.RemoteTestRunner.runTests(RemoteTestRunner.java:683)
    at org.eclipse.jdt.internal.junit.runner.RemoteTestRunner.run(RemoteTestRunner.java:390)
    at org.eclipse.jdt.internal.junit.runner.RemoteTestRunner.main(RemoteTestRunner.java:197)

问题似乎是由Mockito引起的：

我们的“mock”和“spy”类来自一些外部密封的jar，Mockito生成的“mock类”与“mock类”具有相同的包

因为依赖项jar中的包是密封的，所以测试的jar无法在同一个包中创建类（URLClassLoader检查不同密封的jar中是否没有使用同一个包）

我试图为junit测试添加一个特定的SecurityManager.policy文件，但是我没有找到一个允许在已经由依赖项密封的包中包含类的属性

此外，URLClassLoader似乎没有删除密封违规检查的选项

我们使用的Mockito版本是1.8.5。我尝试使用最新版本（1.9.5），但没有修复错误

---

如果有人有想法…

您可以将trait放在另一个包中，并在测试时模拟该trait，而不是密封的jar中的类，从而解决这个问题。这可以理解为一个安全问题，但你可以很容易地反驳这一点

您可以密封一个jar，该jar导入所有未密封的代码，而不在其中添加任何行为。这将为您的客户提供他所需要的安全性，但避免您必须处理测试或其他实现中没有此要求的限制

---

我确信你使用的是非密封的依赖项，所以你只需要让你自己的可测试代码成为密封jar的依赖项。

你可以考虑对不在密封罐中的代码运行这些测试的方法。也可以构建未密封的罐子，并使用它们进行测试，或者在测试之前打开罐子。

我最近不得不处理

Mockito.spy

和签名的罐子

实际上，一种解决方案是强制测试任务取消所有有问题的jar（即已签名的jar）的签名

---

使用ApacheAnt可以定义宏

<macrodef name="unsignjar">
    <attribute name="jarFile" />
    <sequential>
        <jar update="yes"
             jarfile="@{jarFile}.tmp">
            <zipfileset src="@{jarFile}">
                <include name="**"/>
                <exclude name="META-INF/*.SF"/>
                <exclude name="META-INF/*.DSA"/>
                <exclude name="META-INF/*.RSA"/>
            </zipfileset>
        </jar>
        <move file="@{jarFile}.tmp"
              tofile="@{jarFile}"
              overwrite="true" />
    </sequential>
</macrodef>

回答，所以你求助于
maven jarsigner插件
插件。
你运行的是哪个版本的Mockito？有一点相关，你为什么选择密封你的JAR？另一方面。。。欢迎来到stackoverflow，有一些代表！对于罐密封，这是客户的要求。他援引了安全问题。举个例子：将JAR注入类路径可能会导致一些外部代码访问包私有代码。客户的选择对我来说不是很清楚，所以我的答案可能会混淆。对于mockito版本，我们使用1.8.5。如果需要，我们可以升级该版本。（很抱歉，我的三重帖子，我的英语不流利，在延迟5分钟之前我无法编辑它）我已经在Mockito的1.8.5和1.9.5版本上测试了一个来自密封包的接口的简单模拟，以及一个来自密封包的类的模拟和间谍，并且能够顺利完成。也许您可以添加一些测试代码？最后，我们决定为测试目的准备一份未密封的JAR副本。密封罐将包含在“生产分配”中。谢谢你的帮助！
<target name="unsign-problematic-jars">
    <unsignjar jarFile="my-signed.jar" />
</target>