aviatorscript 安全求值需启用沙箱、禁用反射函数并预编译表达式;规则应封装为可缓存的rule类;in操作符须用array()构造列表;spring boot中通过@refreshscope实现热加载。
AviatorScript 表达式怎么安全求值?别直接 Expression.execute()
AviatorScript 默认不校验表达式合法性,传入恶意字符串(比如 "System.exit(0)" 或反射调用)会直接执行任意 Java 代码。这不是 bug,是设计使然——它默认信任输入源。
必须显式关闭危险函数、限制类加载、启用沙箱模式:
- 初始化时调用
AviatorEvaluator.setFunctionMissingHandler()拦截未注册函数 - 用
AviatorEvaluator.newInstance().setOption(Options.SANDBOX, true)启用沙箱(JDK 8+ 有效) - 禁用反射相关内置函数:
AviatorEvaluator.removeFunction("class")、removeFunction("new")、removeFunction("getDeclaredMethod") - 表达式求值前先用
AviatorEvaluator.compile()预编译,捕获CompileExpressionErrorException—— 这比运行时报错更早暴露语法问题
规则配置怎么从字符串变成可复用的 Java 对象?
不能每次请求都 AviatorEvaluator.execute("x > 100 && y in [\"A\",\"B\"]", env),性能差且无法缓存。核心是把表达式“编译后存起来”。
典型做法是封装一个 Rule 类,包含:expression(原始字符串)、compiled(Expression 实例)、requiredKeys(自动提取的变量名列表,用 AviatorEvaluator.getVariableNames()):
立即学习“Java免费学习笔记(深入)”;
String expr = "amount > threshold && status == 'ACTIVE'";
Expression compiled = AviatorEvaluator.compile(expr, true); // true 表示缓存
Map<String, Object> env = new HashMap<>();
env.put("amount", 120L);
env.put("threshold", 100L);
env.put("status", "ACTIVE");
Object result = compiled.execute(env); // 返回 Boolean
注意:compile() 的缓存是全局静态的,多线程安全;但如果你动态修改了内置函数或选项,需确保编译前后环境一致。
为什么规则里用 in 报错?Aviator 的集合字面量有坑
常见错误现象:"userType in ['VIP', 'PREMIUM']" 在 Aviator 4.x+ 会抛 ParseException,因为方括号 [] 不是原生支持的数组字面量语法。
Aviator 只认 ["VIP", "PREMIUM"] 是合法 list 字面量(4.3.0+),但低版本(如 4.1.x)只支持 array("VIP", "PREMIUM") 函数构造:
- 推荐统一用函数式写法:
userType in array("VIP", "PREMIUM") - 避免用
[...],除非确认所有环境都是 Aviator ≥ 4.3.0 -
in右侧必须是List或Set,不能是普通数组(String[])——传入前要转成Arrays.asList(...) - 如果规则来自前端 JSON 配置,注意 JSON 解析后字符串引号是双引号,而 Aviator 字符串字面量要求单引号:
'VIP',否则解析失败
Spring Boot 里怎么热加载规则?别 reload 整个 AviatorEvaluator
Aviator 本身无热加载机制,强行 reload AviatorEvaluator 静态实例会导致已编译表达式失效、并发问题。正确做法是让规则对象自己管理生命周期。
建议结合 Spring 的 @RefreshScope 和监听配置变更事件:
- 把规则定义为
@ConfigurationProperties类,绑定到 YAML/Config Server - 每个规则对应一个
@Bean,标注@RefreshScope,并在@PostConstruct中预编译Expression - 监听
EnvironmentChangeEvent或RefreshEvent,触发规则重新加载(不是重启 evaluator) - 关键点:旧的
Expression实例会被 GC,新实例由 Spring 管理,业务代码通过@Autowired注入规则 Bean,天然获得最新版
真正容易被忽略的是变量作用域隔离——不同规则可能用同名变量(如 now),但含义不同。不要依赖全局 AviatorEvaluator.addFunction() 注册通用函数,应按规则粒度传入 env,或封装专用 Function 实现做上下文感知。
