一、问题背景与现象分析

在使用Maven打包Java项目时，若模块依赖中存在对java.security.acl包的引用，编译或打包阶段可能报错“package java.security.acl does not exist”。该问题常见于JDK 9及以上版本，因Java平台模块系统（JPMS）的引入，java.security.acl相关API被标记为废弃并从默认模块路径中移除。

JDK 9开始推行模块化设计，将JRE拆分为多个可选模块。而java.security.acl所属的java.base模块不再导出该包，导致任何直接或间接引用该包的代码无法通过编译。

典型错误信息如下：

[ERROR] package java.security.acl does not exist
[ERROR] cannot find symbol: class Acl
[ERROR] cannot find symbol: class AclEntry

此类问题多出现在老项目升级JDK版本后，尤其是在迁移至JDK 11、17或21等长期支持版本时尤为突出。

二、根本原因剖析

自JDK 9起，Java引入了JPMS（Java Platform Module System），旨在提升安全性和可维护性。作为清理过时API的一部分，java.security.acl被正式弃用。其核心类如Acl、AclEntry、AclNotFoundException等均不再包含在标准运行时中。

以下是关键变更点：

• JDK 8及以下：java.security.acl存在于rt.jar中，自动可用。
• JDK 9+：该包未被任何模块导出，即使在类路径中也无法访问。
• 模块化应用中需显式声明依赖，但无对应模块提供此功能。

此外，许多第三方库（如旧版Apache组件、CORBA实现等）可能隐式依赖该包，造成传递性冲突。

三、影响范围与检测方法

该问题不仅影响主代码，也可能由依赖树中的间接引用触发。可通过以下方式定位问题源：

1. 执行mvn compile -X查看详细编译日志。
2. 使用mvn dependency:tree分析依赖层级。
3. 搜索项目中所有import java.security.acl.*;语句。
4. 借助IDE的“Find Usages”功能追踪Acl类调用。

四、解决方案汇总

针对不同场景，可采取多种策略应对该兼容性问题：

• 方案一：重构代码，替换为现代安全模型
• 方案二：排除不兼容的第三方依赖
• 方案三：降级构建JDK至JDK 8
• 方案四：使用--add-exports临时绕过限制（仅限过渡期）

五、方案详述与实施步骤

5.1 替换为java.security.Policy或Permission机制

原Acl用于访问控制列表管理，现推荐使用基于Permission和Policy的安全架构。

// 原有ACL用法（已失效）
Acl acl = new AclImpl(principal);
acl.addEntry(principal, permission);

// 推荐替代方案
PermissionCollection pc = new Permissions();
pc.add(new FilePermission("/tmp", "read"));
Policy.getPolicy().implies(protectionDomain, permission);

5.2 排除冲突依赖项

在pom.xml中排除引入java.security.acl的库：

<dependency>
    <groupId>com.example</groupId>
    <artifactId>legacy-security-lib</artifactId>
    <version>1.2</version>
    <exclusions>
        <exclusion>
            <groupId>*</groupId>
            <artifactId>*</artifactId>
        </exclusion>
    </exclusions>
</dependency>

六、构建环境适配建议

对于短期内无法重构的遗留系统，建议采用兼容模式：

• 指定Maven编译器插件目标版本为1.8：

<plugin>
    <groupId>org.apache.maven.plugins</groupId>
    <artifactId>maven-compiler-plugin</artifactId>
    <version>3.11.0</version>
    <configuration>
        <source>8</source>
        <target>8</target>
    </configuration>
</plugin>

配合使用JDK 8进行构建，确保向后兼容性。

面对JDK持续演进带来的API淘汰，企业应建立技术债务监控机制：

• 定期扫描项目中使用的deprecated类。
• 建立JDK升级前的兼容性评估流程。
• 推动安全模型现代化，避免依赖过时ACL机制。
• 利用ArchUnit等工具自动化检测非法包引用。

未来Java安全体系将进一步强化基于模块权限和沙箱隔离的机制，开发者应尽早适应这一趋势。