【分享排雷经历】系统引入Apache-Tika产生的NoClassDefFoundError错误

今天，我们的重点工作是对monorepo系统的文件导入做安全控制，主要是通过判断文件的扩展名和类型，来限定用户导入文件的合法性，防止非法文件进入系统造成风险。

我们借用了此前在另一个系统zfquan基于Apache Tika的解决方案。

不巧，在运行main程序时，出现了一个 NoClassDefFoundError 错误-未找到Apache Commons IO（commons-io）类库的一个class的定义。

20:25:14.667 [main] DEBUG org.apache.tika.config.TikaConfig - loading tika config from defaults; no config file specified
Exception in thread "main" java.lang.NoClassDefFoundError: org/apache/commons/io/input/UnsynchronizedByteArrayInputStream
    at org.apache.tika.config.TikaConfig.getDefaultMimeTypes(TikaConfig.java:317)
    at org.apache.tika.config.TikaConfig.<init>(TikaConfig.java:246)
    at org.apache.tika.config.TikaConfig.getDefaultConfig(TikaConfig.java:390)
    at org.apache.tika.Tika.<init>(Tika.java:119)
    at com.emax.zhenghe.common.util.TikaFileSecurityUtils.<init>(TikaFileSecurityUtils.java:20)
    at com.emaxcard.car.TestMain.main(TestMain.java:38)
Caused by: java.lang.ClassNotFoundException: org.apache.commons.io.input.UnsynchronizedByteArrayInputStream
    at java.net.URLClassLoader.findClass(URLClassLoader.java:387)
    at java.lang.ClassLoader.loadClass(ClassLoader.java:418)
    at sun.misc.Launcher$AppClassLoader.loadClass(Launcher.java:352)
    at java.lang.ClassLoader.loadClass(ClassLoader.java:351)
    ... 6 more

Process finished with exit code 1

NoClassDefFoundError（而不是 ClassNotFoundException） 表示编译时类存在，但运行时找不到。

常见原因：

• 依赖未正确引入。

• 依赖冲突导致类加载失败。

• 打包时遗漏了 commons-io.jar（如 maven-shade-plugin 未正确包含依赖）。

同样的Tika，为什么搬到monorepo就不行了呢？

经查maven依赖，monorepo系统与zfquan系统所依赖的 commons-io 的版本不同，zfquan是2.16.1，monorepo是2.6，这导致了问题的发生。

与单体结构的zfquan所不同的是，monorepo是一个庞大的同时拥有基础lib库和上层应用的工程。我们是在lib库的 sby-component-dfs 包 中添加的Tika依赖。

我尝试在其中一个应用层pom里显式添加 commons-io:2.16.1，是可以解决问题的。

但，monorepo有多达数十个应用，我显然不能在这么多应用层里显式添加 commons-io:2.16.1 依赖。而且，这不符合我们的系统开发规范————maven包依赖统一在顶层pom来管理。

那么，如何继续解决呢？

通过应用的maven依赖树（dependency:tree）得知，commons-io:commons-io:jar:2.6 是直接作为顶层依赖引入的（没有被其他库传递依赖）

然后我在IDE中全局查找 <artifactId>commons-io</artifactId>，发现在顶层maven依赖管理文件 spring-base.pom 中，的确显式定义了 commons-io 的版本号！

<properties>
    ...
    <commons.version>2.6</commons.version>
</properties>

<dependencyManagement>
    <dependencies>
        ...
        <dependency>
            <groupId>commons-io</groupId>
            <artifactId>commons-io</artifactId>
            <version>${commons.version}</version>
        </dependency>
    </dependencies>
</dependencyManagement>

如此，我把这个版本号变更为 2.16.1 ，也是可以解决问题的。

但，monorepo项目庞大，这样可能会拆东墙补西墙————可能影响其他用到commons-io的系统功能。

so，我们得针对 Tika 版本来做文章，找到适配 commons-io:2.6 的版本。

DeepSeek很快给出答案：Tika 2.4.1依赖commons-io:2.6。开发者将 Tika 版本从 2.9.1 降级到 2.4.1，不再出现NoClassDefFoundError错误，并且经测试，这个版本的Tika可以满足我们对系统文件导入的安全控制。