Dev Solve

中文

English
日本語

中文

English
日本語

Appearance

相关文章

Maven "invalid target release: 11" 问题解决方案

"org.springframework.boot:spring-boot-maven-plugin not found" 问题解决指南

lombok.javac.apt.LombokProcessor cannot access class com.sun.tools.javac.processing.JavacProcessingEnvironment 错误解决方案

Maven 依赖解析异常:解决 Blocked mirror for repositories 错误

Maven HTTP仓库被阻止错误解决方案

Maven 3.8+ HTTP 仓库访问问题与解决方案

问题描述

自 Maven 3.8.1 版本开始,Apache Maven 默认阻止所有外部 HTTP 仓库访问,这是出于安全考虑的重要变更。当尝试从 HTTP 仓库下载依赖时,会出现如下错误:

Blocked mirror for repositories: [repository-id (http://...)]

这个安全措施是为了防范潜在的中间人攻击,但同时也给那些尚未升级到 HTTPS 的遗留仓库带来了兼容性问题。

解决方案概览

安全提醒

禁用 HTTP 安全限制会降低项目安全性,建议优先考虑升级仓库到 HTTPS 或使用安全的替代方案。

以下是几种主要的解决方案,按推荐顺序排列:

方案一:升级到 HTTPS(推荐首选)

最简单的解决方案是将仓库 URL 从 HTTP 升级到 HTTPS:

xml
<!-- pom.xml -->
<repository>
    <id>my-repository</id>
    <name>My Repository</name>
    <!-- 将 http 改为 https -->
    <url>https://example.com/repository</url>
</repository>

TIP

许多仓库服务商已支持 HTTPS,只需简单修改 URL 协议即可解决问题。

方案二:为特定仓库创建镜像(推荐备选)

在 Maven 设置文件中为需要访问的 HTTP 仓库创建镜像:

xml
<!-- ~/.m2/settings.xml 或项目级设置 -->
<settings>
    <mirrors>
        <mirror>
            <id>my-http-repo-mirror</id>
            <name>Mirror for My HTTP Repository</name>
            <url>http://example.com/repository</url>
            <!-- 匹配仓库ID -->
            <mirrorOf>my-repository</mirrorOf>
            <!-- 明确取消阻止 -->
            <blocked>false</blocked>
        </mirror>
    </mirrors>
</settings>

方案三:项目级配置(团队协作推荐)

创建项目特定的 Maven 配置,避免影响全局设置:

  1. 在项目根目录创建 .mvn/maven.config 文件:
--settings
./.mvn/local-settings.xml
  1. 创建 .mvn/local-settings.xml 文件:
xml
<settings>
    <mirrors>
        <mirror>
            <id>project-repo-mirror</id>
            <mirrorOf>project-repository</mirrorOf>
            <url>http://example.com/repository</url>
            <blocked>false</blocked>
        </mirror>
    </mirrors>
</settings>

方案四:修改全局设置(临时解决方案)

不推荐

此方法会禁用所有 HTTP 仓库的安全检查,存在安全风险。

注释或修改 Maven 安装目录中的默认阻止规则:

xml
<!-- ${MAVEN_HOME}/conf/settings.xml -->
<!-- 注释掉以下内容 -->
<!--
<mirror>
    <id>maven-default-http-blocker</id>
    <mirrorOf>external:http:*</mirrorOf>
    <name>Pseudo repository to mirror external repositories initially using HTTP.</name>
    <url>http://0.0.0.0/</url>
    <blocked>true</blocked>
</mirror>
-->

特殊场景处理

需要认证的 HTTP 仓库

对于需要用户名密码的 HTTP 仓库,需要同时配置服务器认证信息:

xml
<settings>
    <servers>
        <server>
            <id>my-secure-repo</id>
            <username>your-username</username>
            <password>your-password</password>
        </server>
    </servers>
    
    <mirrors>
        <mirror>
            <id>my-secure-repo</id>
            <mirrorOf>my-secure-repo</mirrorOf>
            <url>http://secure-repo.example.com</url>
            <blocked>false</blocked>
        </mirror>
    </mirrors>
</settings>

IntelliJ IDEA 用户注意事项

如果使用 IntelliJ 内置的 Maven,设置文件路径可能位于:

${user.home}/Library/Application Support/JetBrains/Toolbox/apps/IDEA-U/ch-0/版本号/IntelliJ IDEA.app/Contents/plugins/maven/lib/maven3/conf/settings.xml

最佳实践建议

  1. 优先升级到 HTTPS:这是最安全且一劳永逸的解决方案
  2. 使用项目级配置:便于团队协作和版本控制
  3. 避免修改全局设置:防止影响其他项目和安全风险
  4. 定期审查依赖:检查是否有更新的版本支持 HTTPS

版本兼容性

Maven 3.8.1+ 版本均受此变更影响,早期版本不受影响。

通过上述方法,您可以灵活地处理 Maven 3.8+ 中的 HTTP 仓库访问问题,同时平衡安全性和项目需求。