0


Spring Boot 2.x 将 logback 1.2.x 升级至 1.3.x

场景

安全部门针对代码进行漏洞扫描时,发现

logback-core

logback-classic

都属于

1.2.x

版本,这个版本存在

CVE

漏洞,并且建议升级到

1.3.x

版本。

问题

将两个包直接升级到

1.3.x

版本时,Spring Boot Web 服务启动直接出现错误

Exception in thread "main" java.lang.NoClassDefFoundError: org/slf4j/impl/StaticLoggerBinder
    at org.springframework.boot.logging.logback.LogbackLoggingSystem.getLoggerContext(LogbackLoggingSystem.java:293)
    at org.springframework.boot.logging.logback.LogbackLoggingSystem.beforeInitialize(LogbackLoggingSystem.java:118)
    at org.springframework.boot.context.logging.LoggingApplicationListener.onApplicationStartingEvent(LoggingApplicationListener.java:238)
    at org.springframework.boot.context.logging.LoggingApplicationListener.onApplicationEvent(LoggingApplicationListener.java:220)
    at org.springframework.context.event.SimpleApplicationEventMulticaster.doInvokeListener(SimpleApplicationEventMulticaster.java:176)

原因

org.slf4j.impl.StaticLoggerBinder

这个类在

1.2.x

中由

logback

自行实现,在

1.3.x

版本中,这个类已经消失,

所以直接升级logback的包看起来并不可行,因为spring boot的代码中对实用到了

1.2.x

中的类。

在这里插入图片描述

解决

按照上面所说的原因,直接升级

spring boot

到新版本就可以支持

logback 1.3.x

但是遗憾的是 spring boot 需要版本在

3.x.x

之上才支持

logback 1.3.x

,并且使用 spring boot 3 需要 jdk 17的支持,

这就麻烦了,如此大版本的升级,对于系统的影响,可能无法预知,是否存在不升级版本还能兼容使用

logback 1.3.x

的方法。

最终方案

经过尝试,我使用了下面的步骤,在不升级 spring boot 版本的情况下,成功使用

logback 1.3.x

1. 单独升级logback版本, pom.xml

<dependency>
    <groupId>org.slf4j</groupId>
    <artifactId>slf4j-api</artifactId>
    <version>2.0.4</version>
</dependency>
<dependency>
    <groupId>org.slf4j</groupId>
    <artifactId>log4j-over-slf4j</artifactId>
    <version>2.0.4</version>
</dependency>
<dependency>
    <groupId>org.slf4j</groupId>
    <artifactId>jul-to-slf4j</artifactId>
    <version>2.0.4</version>
</dependency>

<dependency>
    <groupId>ch.qos.logback</groupId>
    <artifactId>logback-core</artifactId>
    <version>1.3.0</version>
</dependency>

<dependency>
    <groupId>ch.qos.logback</groupId>
    <artifactId>logback-classic</artifactId>
    <version>1.3.0</version>
</dependency>

2. 禁用spring boot自身对日志的适配

@SpringBootApplication
public class Application {

    public static void main(String[] args) {
        System.setProperty("org.springframework.boot.logging.LoggingSystem", "none");
        SpringApplication.run(Application.class, args);
    }

}

3. 在resources根目录下增加logback.xml文件

这一步根据自己的需求配置饥渴。

<?xml version="1.0" encoding="UTF-8"?>
<configuration debug="false">
    <property name="app" value="xxx"/>
    <property name="filename" value="xxx"/>

    <import class="ch.qos.logback.classic.encoder.PatternLayoutEncoder"/>
    <import class="ch.qos.logback.core.rolling.RollingFileAppender"/>
    <import class="ch.qos.logback.core.rolling.TimeBasedRollingPolicy"/>
    <import class="ch.qos.logback.core.ConsoleAppender"/>
    <import class="ch.qos.logback.classic.AsyncAppender"/>
    <import class="ch.qos.logback.classic.filter.ThresholdFilter"/>

    <appender name="INFO" class="RollingFileAppender">
        ....
    </appender>

    <appender name="ERROR" class="RollingFileAppender">
       .....
    </appender>

    <appender name="STDOUT" class="ConsoleAppender">
       ...
    </appender>
        ....
    <appender name="ASYNC_INFO" class="AsyncAppender">
        ....
    </appender>
        ....
    <appender name="ASYNC_ERROR" class="AsyncAppender">
        ....
    </appender>

    <logger name="sun.rmi" level="error"/>
    <logger name="sun.net" level="error"/>
    <logger name="javax.management" level="error"/>
    <logger name="org.redisson" level="warn"/>
    <logger name="com.zaxxer" level="warn"/>

    <root level="INFO" additivity="false">
        <appender-ref ref="STDOUT"/>
        <appender-ref ref="ASYNC_INFO"/>
        <appender-ref ref="ASYNC_ERROR"/>
    </root>
</configuration>

4. 完毕

这时候启动项目即可正常运行。

原因说明:

slf4j-api 1.8之后的版本不再使用静态绑定,意味着不再需要StaticLoggerBinder,使用的是ServiceLoader机制,

新版本的 logback 自然为了适配,删除了 StaticLoggerBinder,使用 ServiceLoader 机制,

因此禁用了 spring boot 自身的日志适配,引入高版本logback后,logback自身通过 ServiceLoader 即引入项目中正常使用

PS

本文参考了:

  1. springboot 版本1.5.4 版本低 logback 升级1.3以上项目启动冲突
  2. logback更新到1.3版本tomcat无法启动问题解决

本文转载自: https://blog.csdn.net/cainiao1412/article/details/137828026
版权归原作者 多动手,勤思考 所有, 如有侵权,请联系我们删除。

“Spring Boot 2.x 将 logback 1.2.x 升级至 1.3.x”的评论:

还没有评论