mockito vs 密封包装答案

【问题标题】：mockito vs sealed packagesmockito vs 密封包装
【发布时间】：2013-02-18 19:03:27
【问题描述】：

我正在从事一个安全限制严重的项目。一个要求是密封我们的罐子。

由于我们密封了罐子，我们的很多 junit-tests 都失败了，并出现以下错误：

java.lang.SecurityException: sealing violation: package [a.dependency.package] is sealed
    at java.net.URLClassLoader.defineClass(URLClassLoader.java:234)
    at java.net.URLClassLoader.access$000(URLClassLoader.java:58)
    at java.net.URLClassLoader$1.run(URLClassLoader.java:197)
    at java.security.AccessController.doPrivileged(Native Method)
    at java.net.URLClassLoader.findClass(URLClassLoader.java:190)
    at java.lang.ClassLoader.loadClass(ClassLoader.java:306)
    at sun.misc.Launcher$AppClassLoader.loadClass(Launcher.java:301)
    at java.lang.ClassLoader.loadClass(ClassLoader.java:247)
    at java.lang.Class.getDeclaredMethods0(Native Method)
    at java.lang.Class.privateGetDeclaredMethods(Class.java:2427)
    at java.lang.Class.getDeclaredMethods(Class.java:1791)
    at org.mockito.cglib.core.ReflectUtils.addAllMethods(ReflectUtils.java:349)
    at org.mockito.cglib.proxy.Enhancer.getMethods(Enhancer.java:422)
    at org.mockito.cglib.proxy.Enhancer.generateClass(Enhancer.java:457)
    at org.mockito.cglib.core.DefaultGeneratorStrategy.generate(DefaultGeneratorStrategy.java:25)
    at org.mockito.cglib.core.AbstractClassGenerator.create(AbstractClassGenerator.java:217)
    at org.mockito.cglib.proxy.Enhancer.createHelper(Enhancer.java:378)
    at org.mockito.cglib.proxy.Enhancer.createClass(Enhancer.java:318)
    at org.mockito.internal.creation.jmock.ClassImposterizer.createProxyClass(ClassImposterizer.java:93)
    at org.mockito.internal.creation.jmock.ClassImposterizer.imposterise(ClassImposterizer.java:50)
    at org.mockito.internal.util.MockUtil.createMock(MockUtil.java:54)
    at org.mockito.internal.MockitoCore.mock(MockitoCore.java:45)
    at org.mockito.Mockito.spy(Mockito.java:991)
    at [...]
    at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
    at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)
    at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
    at java.lang.reflect.Method.invoke(Method.java:597)
    at org.junit.runners.model.FrameworkMethod$1.runReflectiveCall(FrameworkMethod.java:44)
    at org.junit.internal.runners.model.ReflectiveCallable.run(ReflectiveCallable.java:15)
    at org.junit.runners.model.FrameworkMethod.invokeExplosively(FrameworkMethod.java:41)
    at org.junit.internal.runners.statements.RunBefores.evaluate(RunBefores.java:27)
    at org.junit.runners.BlockJUnit4ClassRunner.runNotIgnored(BlockJUnit4ClassRunner.java:79)
    at org.junit.runners.BlockJUnit4ClassRunner.runChild(BlockJUnit4ClassRunner.java:71)
    at org.junit.runners.BlockJUnit4ClassRunner.runChild(BlockJUnit4ClassRunner.java:49)
    at org.junit.runners.ParentRunner$3.run(ParentRunner.java:193)
    at org.junit.runners.ParentRunner$1.schedule(ParentRunner.java:52)
    at org.junit.runners.ParentRunner.runChildren(ParentRunner.java:191)
    at org.junit.runners.ParentRunner.access$000(ParentRunner.java:42)
    at org.junit.runners.ParentRunner$2.evaluate(ParentRunner.java:184)
    at org.junit.runners.ParentRunner.run(ParentRunner.java:236)
    at org.eclipse.jdt.internal.junit4.runner.JUnit4TestReference.run(JUnit4TestReference.java:50)
    at org.eclipse.jdt.internal.junit.runner.TestExecution.run(TestExecution.java:38)
    at org.eclipse.jdt.internal.junit.runner.RemoteTestRunner.runTests(RemoteTestRunner.java:467)
    at org.eclipse.jdt.internal.junit.runner.RemoteTestRunner.runTests(RemoteTestRunner.java:683)
    at org.eclipse.jdt.internal.junit.runner.RemoteTestRunner.run(RemoteTestRunner.java:390)
    at org.eclipse.jdt.internal.junit.runner.RemoteTestRunner.main(RemoteTestRunner.java:197)

看起来问题是由 Mockito 引起的：

我们“mock”和“spy”来自一些外部密封 jar 的类，而 Mockito 生成的“mock classes”与“mocked classes”具有相同的包。

因为依赖jar的包是密封的，所以被测试的jar不能在同一个包中创建类（URLClassLoader会检查不同的密封jar没有使用同一个包）。

我尝试为 junit 测试添加特定的 SecurityManager .policy 文件，但我没有找到允许在包中包含已被依赖项密封的类的属性。

此外，URLClassLoader 似乎没有删除密封违规检查的选项。

我们使用的 Mockito 版本是 1.8.5。我尝试使用最新版本（1.9.5），但没有修复错误。

如果有人有想法...

【问题讨论】：

你运行的是什么版本的 Mockito？
在一些相关的说明中，你为什么选择密封你的罐子？在一个不相关的说明...欢迎使用 stackoverflow，有一些代表！
对于罐子密封，这是客户的要求。他援引了安全问题。例如：将 jars 注入类路径可能会导致一些外部代码访问包私有代码。客户的选择对我来说不是很清楚，所以我的回答可能会令人困惑。
对于 mockito 版本，我们使用 1.8.5。如果需要，我们可能会升级版本。（对不起，我的英文不流利，在延迟 5 分钟之前无法编辑它）
我已经在 Mockito 的 1.8.5 和 1.9.5 上测试了来自密封包的接口的简单模拟，以及来自密封包的模拟和类的间谍，并且能够毫无问题地做到这一点。也许您可以添加一些测试代码？

标签： java classloader mockito sealed securitymanager

【解决方案1】：

您可以通过将特征放在不同的包中并在测试模拟该特征而不是密封 jar 中的类来解决此问题。这可能被解释为安全问题，但您可以很容易地反对。

您可以密封一个导入所有未密封代码的 jar，而不在那里添加任何行为。这将为您的客户提供他需要的安全性，但避免您在测试或其他没有此要求的实现中处理限制。

我确定您使用的是未密封的依赖项，因此您只需将自己的可测试代码也作为密封 jar 的依赖项。

【讨论】：

最后，我们决定为测试目的准备一份未密封的 jar 副本。密封的罐子将包含在“生产分配”中。感谢您的帮助！

【解决方案2】：

您可以考虑针对不在密封罐中的代码运行这些测试的方法。也可以构建未密封的 jar，并使用它们进行测试，或者在测试之前打开 jar。

【讨论】：

【解决方案3】：

我最近不得不处理 Mockito.spy 并签署了 jars。

实际上，一种解决方案是强制测试任务取消签名所有有问题的 jar（即已签名的 jar）。

使用 Apache Ant，您可以定义宏

<macrodef name="unsignjar">
    <attribute name="jarFile" />
    <sequential>
        <jar update="yes"
             jarfile="@{jarFile}.tmp">
            <zipfileset src="@{jarFile}">
                <include name="**"/>
                <exclude name="META-INF/*.SF"/>
                <exclude name="META-INF/*.DSA"/>
                <exclude name="META-INF/*.RSA"/>
            </zipfileset>
        </jar>
        <move file="@{jarFile}.tmp"
              tofile="@{jarFile}"
              overwrite="true" />
    </sequential>
</macrodef>

然后像下面这样调用它：

<target name="unsign-problematic-jars">
    <unsignjar jarFile="my-signed.jar" />
</target>

使用 Apache Maven，您可以按照 this 答案中的建议进行操作，因此您可以使用 maven-jarsigner-plugin 插件。

【讨论】：