一、簡(jiǎn)介

我們項(xiàng)目組主要負(fù)責(zé)面向企業(yè)客戶(hù)的業(yè)務(wù)系統(tǒng)，企業(yè)的需求往往是多樣化且復(fù)雜的，對(duì)接不同企業(yè)時(shí)會(huì)有不同的定制化的業(yè)務(wù)模型和流程。我們?cè)跇I(yè)務(wù)系統(tǒng)中使用表達(dá)式引擎，集中配置管理業(yè)務(wù)規(guī)則，并實(shí)現(xiàn)實(shí)時(shí)決策和計(jì)算，可以提高系統(tǒng)的靈活性和響應(yīng)能力，從而更好地滿(mǎn)足業(yè)務(wù)的需求。 舉個(gè)簡(jiǎn)單的例子，假設(shè)我們有一個(gè)業(yè)務(wù)場(chǎng)景，在返利系統(tǒng)中，當(dāng)推廣員滿(mǎn)足一定的獎(jiǎng)勵(lì)條件時(shí)，就會(huì)給其對(duì)應(yīng)的獎(jiǎng)勵(lì)金額。例如某個(gè)產(chǎn)品的具體獎(jiǎng)勵(lì)規(guī)則如下：

這個(gè)規(guī)則看起來(lái)很好實(shí)現(xiàn)，只要在代碼里寫(xiě)幾個(gè)if else分支就可以了。但是如果返利系統(tǒng)對(duì)接了多家供應(yīng)商，且每家提供的產(chǎn)品的獎(jiǎng)勵(lì)規(guī)則都不同呢？再通過(guò)硬編碼的方式寫(xiě)if else似乎就不太好了，每次增加修改刪除規(guī)則都需要系統(tǒng)發(fā)版上線(xiàn)。 引入規(guī)則引擎似乎就能解決這個(gè)問(wèn)題，規(guī)則引擎的一個(gè)好處就是可以使業(yè)務(wù)規(guī)則和業(yè)務(wù)代碼分離，從而降低維護(hù)難度，同時(shí)它還可以滿(mǎn)足業(yè)務(wù)人員通過(guò)編寫(xiě)DSL或通過(guò)界面指定規(guī)則的訴求，這樣就可以在沒(méi)有開(kāi)發(fā)人員參與的情況下建立規(guī)則了，這種說(shuō)法聽(tīng)起來(lái)似乎很有道理，但在實(shí)踐中卻很少行得通。

首先，規(guī)則引擎有一定的學(xué)習(xí)成本，即使開(kāi)發(fā)人員使用也需要進(jìn)行專(zhuān)門(mén)的學(xué)習(xí)，更何況沒(méi)有任何編程背景的業(yè)務(wù)人員，其次，其實(shí)現(xiàn)的復(fù)雜度也高，如果業(yè)務(wù)規(guī)則復(fù)雜，規(guī)則制定者對(duì)規(guī)則引擎內(nèi)部隱藏的程序流程不了解，很可能會(huì)得到意想不到的結(jié)果，最后，有些規(guī)則引擎還存在性能瓶頸。如果對(duì)規(guī)則引擎和表達(dá)式引擎都不熟悉，抽離的業(yè)務(wù)規(guī)則又需要由開(kāi)發(fā)人員來(lái)制定，那么相比之下表達(dá)式引擎就要容易上手得多，其語(yǔ)法更接近Java，而且有些表達(dá)式引擎還會(huì)將表達(dá)式編譯成字節(jié)碼，在執(zhí)行速度和資源利用方面可能就更有優(yōu)勢(shì)。所以，對(duì)于此類(lèi)業(yè)務(wù)場(chǎng)景，使用表達(dá)式引擎似乎更加合適一些。 本文主要對(duì)Java表達(dá)式引擎進(jìn)行概要性介紹和分析，并提供一定建議，為團(tuán)隊(duì)研發(fā)過(guò)程中對(duì)表達(dá)式引擎的技術(shù)選型提供輸入。

二、技術(shù)棧簡(jiǎn)介

本文將針對(duì)AviatorScript、MVEL、OGNL、SpEL、QLExpress、JEXL、JUEL幾種常見(jiàn)表達(dá)式引擎進(jìn)行選型調(diào)研。先簡(jiǎn)單介紹一下這幾種表達(dá)式引擎。

2.1 AviatorScript

AviatorScript 是一門(mén)高性能、輕量級(jí)寄宿于 JVM 之上的腳本語(yǔ)言。AviatorScript 可將表達(dá)式編譯成字節(jié)碼。它原來(lái)的定位一直只是一個(gè)表達(dá)式引擎，不支持 if/else 條件語(yǔ)句，也不支持for/while循環(huán)語(yǔ)句等，隨著5.0的發(fā)布變身為一個(gè)通用腳本語(yǔ)言，支持了這些語(yǔ)言特性。

2.2 MVEL (MVFLEX Expression Language)

MVEL是一種混合的動(dòng)態(tài)/靜態(tài)類(lèi)型的、可嵌入Java平臺(tái)的表達(dá)式語(yǔ)言，MVEL被眾多Java項(xiàng)目使用。MVEL 在很大程度上受到 Java 語(yǔ)法的啟發(fā)，但也有一些本質(zhì)區(qū)別，目的是使其作為一種表達(dá)式語(yǔ)言更加高效，例如直接支持集合、數(shù)組和字符串匹配的操作符，以及正則表達(dá)式。最早版本發(fā)布于2007年。 文檔：http://mvel.documentnode.com/?

2.3 OGNL (Object-Graph Navigation Language)

OGNL 是 Object-Graph Navigation Language（對(duì)象圖導(dǎo)航語(yǔ)言）的縮寫(xiě)；它是一種表達(dá)式語(yǔ)言，用于獲取和設(shè)置 Java 對(duì)象的屬性，以及其他額外功能，如列表投影和選擇以及 lambda 表達(dá)式。于2005年發(fā)布2.1.4版。

2.4 SpEL (Spring Expression Language)

SpEL是一種功能強(qiáng)大的表達(dá)式語(yǔ)言，支持在運(yùn)行時(shí)查詢(xún)和操作對(duì)象圖。該語(yǔ)言的語(yǔ)法與 Unified EL 相似，但提供了更多的功能，其中最主要的是方法調(diào)用和基本的字符串模板功能。

2.5 QLExpress

由阿里的電商業(yè)務(wù)規(guī)則、表達(dá)式（布爾組合）、特殊數(shù)學(xué)公式計(jì)算（高精度）、語(yǔ)法分析、腳本二次定制等強(qiáng)需求而設(shè)計(jì)的一門(mén)動(dòng)態(tài)腳本引擎解析工具，于2012年開(kāi)源。

2.6 JEXL (Java Expression Language)

JEXL 旨在促進(jìn)在 Java 編寫(xiě)的應(yīng)用程序和框架中實(shí)現(xiàn)動(dòng)態(tài)腳本功能。JEXL 基于對(duì) JSTL 表達(dá)式語(yǔ)言的一些擴(kuò)展實(shí)現(xiàn)了一種表達(dá)式語(yǔ)言，支持 shell 腳本或 ECMAScript 中的大部分構(gòu)想。1.0版發(fā)布于2005年。

2.7 JUEL (Java Unified Expression Language)

JUEL 是統(tǒng)一表達(dá)式語(yǔ)言 (EL) 的實(shí)現(xiàn)，該語(yǔ)言是 JSP 2.1 標(biāo)準(zhǔn) (JSR-245) 的一部分，已在 JEE5 中引入。此外，JUEL 2.2 實(shí)現(xiàn)了 JSP 2.2 維護(hù)版本規(guī)范，完全符合 JEE6 標(biāo)準(zhǔn)。于2006年發(fā)布2.1.0版本，2.2.7發(fā)布于2014年。

2.8 Janino

Janino是一個(gè)超小、超快的Java編譯器，也可以用作表達(dá)式引擎，它的性能非常出色，根據(jù)官網(wǎng)介紹，Apache Spark、Apache Flink、Groovy等優(yōu)秀的開(kāi)源項(xiàng)目都在用Janino。

由于Janino實(shí)際是一個(gè)Java編譯器，理論上其性能應(yīng)該更接近于直接執(zhí)行Java代碼，其次作為表達(dá)式引擎使用起來(lái)比較復(fù)雜。因此，下面的對(duì)比中，Janino不參與比較，可以將其作為一個(gè)參照。

2.9 其他

如下一些表達(dá)式引擎雖然也常見(jiàn)于各技術(shù)博客，但由于長(zhǎng)期沒(méi)有更新維護(hù)，因此沒(méi)有納入此次選型比較 Fel Fel是輕量級(jí)的高效的表達(dá)式計(jì)算引擎。Fel源自于企業(yè)項(xiàng)目，設(shè)計(jì)目標(biāo)是為了滿(mǎn)足不斷變化的功能需求和性能需求。項(xiàng)目托管于Google Code，上次更新是2012年，已經(jīng)十幾年沒(méi)有更新了，所以沒(méi)有納入此次選型。 ik-expression IK Expression是一個(gè)開(kāi)源的（OpenSource)，可擴(kuò)展的（Extensible），基于java語(yǔ)言開(kāi)發(fā)的一個(gè)超輕量級(jí)（Super lightweight）的公式化語(yǔ)言解析執(zhí)行工具包。2009年2月發(fā)布第一個(gè)版本，2009年10月發(fā)布最后一個(gè)版本后再?zèng)]有新版本發(fā)布，所以沒(méi)有納入此次選型。 JSEL JSEL是一個(gè)兼容 JavaScript 運(yùn)算規(guī)則的簡(jiǎn)單的表達(dá)式解釋引擎，你可以通過(guò)Map接口，或者JavaBean給出一個(gè)變量集合，能后通過(guò)表達(dá)式從這個(gè)集合中抽取變量，再通過(guò)表達(dá)式邏輯生成你需要的數(shù)據(jù)。2009年發(fā)布第一個(gè)版本，2011年發(fā)布最后一個(gè)版本后未再更新，所以沒(méi)有納入此次選型。 此外規(guī)則引擎如 Drools， urule， easy-rules 不參與此次選型比較。相對(duì)比較成熟完善的腳本語(yǔ)言如Groovy也不參與選型比較。這篇文章主要針對(duì)相對(duì)輕量簡(jiǎn)單的表達(dá)式引擎進(jìn)行選型。

三、技術(shù)棧選型評(píng)估

選擇表達(dá)式引擎，我們希望其社區(qū)支持情況良好、實(shí)現(xiàn)復(fù)雜度適中、執(zhí)行速度快、安全并且簡(jiǎn)單易學(xué)。所以，接下來(lái)將從社區(qū)支持情況、引入的大小和依賴(lài)、性能、安全性、使用案例和語(yǔ)法幾個(gè)方面對(duì)幾種表達(dá)式引擎進(jìn)行比較評(píng)估。

3.1 社區(qū)支持情況

社區(qū)支持情況可以輔助評(píng)估項(xiàng)目的健康度，有問(wèn)題是不是能及時(shí)解決，項(xiàng)目是不是能持續(xù)演進(jìn)等等，下面列出了GitHub star，watch，fork，last commit等數(shù)據(jù)，可以作為參考，由于數(shù)據(jù)隨著時(shí)間推移會(huì)產(chǎn)生變化，以下僅針對(duì)2023.10.29的數(shù)據(jù)進(jìn)行分析。

??由于 Spring 項(xiàng)目被廣泛使用，而SpEl又是Spring的一個(gè)子項(xiàng)目，所以從各項(xiàng)數(shù)據(jù)來(lái)看SpEl的社區(qū)支持情況是最好的。下面先排除SpEl分析其他幾個(gè)表達(dá)式引擎。 QLExpress，AviatorScript 和 MVEL 在國(guó)內(nèi)使用比較多，這可能是他們star，watch，fork數(shù)較高的原因。說(shuō)明這幾個(gè)項(xiàng)目受歡迎度，受認(rèn)可度，影響力應(yīng)該較高。 從issues，pull requests數(shù)來(lái)分析，可以看到 MVEL，AviatorScript 和 QLExpress 高于其他腳本引擎，說(shuō)明他們的用戶(hù)需求和反饋較多，也可能意味著項(xiàng)目面臨較多問(wèn)題和挑戰(zhàn)。 MVEL，JEXL，OGNL 均有較多貢獻(xiàn)者參與。他們的社區(qū)協(xié)作、項(xiàng)目可持續(xù)性方面應(yīng)該都比較不錯(cuò)。 綜合以上分析，除SpEl外，QLExpress，AviatorScript 和 MVEL 的社區(qū)支持情況都相對(duì)較好。

3.2 引入大小和依賴(lài)

代碼大小和依賴(lài)可以輔助評(píng)估代碼的復(fù)雜性，下面列出了各個(gè)Github倉(cāng)庫(kù)的代碼大小，可以作為一個(gè)參考（實(shí)際并不完全準(zhǔn)確反映其實(shí)現(xiàn)的復(fù)雜性）。 以下是2023.10.29的數(shù)據(jù)

??JUEL，QLExpress代碼大小最小，都在600多KB；其次是 OGNL 1MB多一點(diǎn)；AviatorScript，MVEL，JEXL 大小都在2MB左右；SpEl由于在 spring-framework 倉(cāng)庫(kù)中，上表中統(tǒng)計(jì)的是 spring-framework 的總量，單純看 SpEl 的模塊 spring-expression 的話(huà)，大小是1.3MB左右。但是其還依賴(lài)了 spring-core 和 spring-jcl，再含這兩個(gè)的話(huà)，大小 7.4MB左右。 我們?cè)俳Y(jié)合各個(gè)項(xiàng)目的依賴(lài)來(lái)分析一下。

+- org.mveljarcompile
+- com.googlecode.aviatorjarcompile
+- com.alibabajarcompile
|  +- commons-beanutilsjarcompile
|  |  - (commons-loggingjarcompile - omitted for conflict with 1.2)
|  - commons-langjarcompile
+- org.codehaus.janinojarcompile
|  - org.codehaus.janinojarcompile
+- ognljarcompile
|  - org.javassistjarcompile
+- org.apache.commonsjarcompile
|  - commons-loggingjarcompile
+- org.springframeworkjarcompile
|  - org.springframeworkjarcompile
|     - org.springframeworkjarcompile
+- de.odysseus.jueljarcompile
+- de.odysseus.jueljarcompile
+- de.odysseus.jueljarcompile

3.3 性能

較好的性能意味著系統(tǒng)能夠快速地響應(yīng)用戶(hù)的請(qǐng)求，減少等待時(shí)間，提升體驗(yàn)。 性能方面主要通過(guò) JMH 在字面量表達(dá)式、含有變量的表達(dá)式以及含有方法調(diào)用的表達(dá)式等使用場(chǎng)景對(duì)幾個(gè)表達(dá)式引擎進(jìn)行測(cè)試。 JMH（Java Microbenchmark Harness），是用于代碼微基準(zhǔn)測(cè)試的工具套件，主要是基于方法層面的基準(zhǔn)測(cè)試，精度可以達(dá)到納秒級(jí)。該工具是由 Oracle 內(nèi)部實(shí)現(xiàn) JIT 的大牛們編寫(xiě)的，他們應(yīng)該比任何人都了解 JIT 以及 JVM 對(duì)于基準(zhǔn)測(cè)試的影響。 由于不同表達(dá)式引擎語(yǔ)法或特性稍有差別，下面測(cè)試中對(duì)于差異項(xiàng)會(huì)進(jìn)行說(shuō)明。

3.3.1 字面量表達(dá)式

：1000 + 100.0 * 99 - (600 - 3 * 15) / (((68 - 9) - 3) * 2 - 100) + 10000 % 7 * 71 ：6.7 - 100 > 39.6 ? 5 == 5 ? 4 + 5 : 6 - 1 : !(100 % 3 - 39.0 < 27) ? 8 * 2 - 199 : 100 % 3 說(shuō)明： 由于QlExpress執(zhí)行第2個(gè)表達(dá)式時(shí)報(bào)錯(cuò)，需要增加圓括號(hào)，實(shí)際執(zhí)行的是6.7 - 100 > 39.6 ? (5 == 5 ? 4 + 5 : 6 - 1) : (!(100 % 3 - 39.0 < 27) ? 8 * 2 - 199 : 100 % 3)

結(jié)果分析: 可以明顯看到 JEXL，JUEL，QlExpress這三個(gè)表達(dá)式引擎性能明顯不如其他引擎。 SpEl 在執(zhí)行第1個(gè)算數(shù)操作時(shí)表現(xiàn)出色，但是在執(zhí)行第2個(gè)嵌套三元操作時(shí)明顯不如AviatorScript，MVEL，OGNL引擎。 此輪測(cè)試中 AviatorScript，OGNL，MVEL表現(xiàn)出色。AviatorScript，OGNL 執(zhí)行兩個(gè)表達(dá)式表現(xiàn)都比較出色，其中AviatorScript略好于OGNL。MVEL 在執(zhí)行第1個(gè)算數(shù)操作時(shí)表現(xiàn)最出色，但是在執(zhí)行第2個(gè)嵌套三元操作時(shí)慢于AviatorScript，OGNL引擎。

3.3.2 含有變量的表達(dá)式

：pi * d + b - (1000 - d * b / pi) / (pi + 99 - i * d) - i * pi * d / b ：piDecimal * dDecimal + bDecimal - (1000 - dDecimal * bDecimal / piDecimal) / (piDecimal + 99 - iDecimal * dDecimal) - iDecimal * piDecimal * dDecimal / bDecimal ：i * pi + (d * b - 199) / (1 - d * pi) - (2 + 100 - i / pi) % 99 == i * pi + (d * b - 199) / (1 - d * pi) - (2 + 100 - i / pi) % 99 ：(clientVersion == '1.9.0' || clientVersion == '1.9.1' || clientVersion == '1.9.2') && deviceType == 'Xiaomi' && weight >= 4 && osVersion == 'Android 9.0' && osType == 'Android' && clientIp != null && requestTime <= now&& customer.grade > 1 && customer.age > 18 說(shuō)明：

由于不同的表達(dá)式引擎在執(zhí)行第2個(gè)表達(dá)式時(shí)底層實(shí)現(xiàn)除法時(shí)有所差別，MVEL，AviatorScript，JEXL 執(zhí)行decimal.divide(otherDecimal, java.math.MathContext.DECIMAL128)，其他實(shí)際執(zhí)行的是decimal.divide(otherDecimal, scale, roundingMode)，只是參數(shù)略有不同，分析時(shí)分組進(jìn)行。

由于QlExpress執(zhí)行第3個(gè)表達(dá)式時(shí)報(bào)錯(cuò)，不支持非整型mod操作，需要增加類(lèi)型轉(zhuǎn)換，實(shí)際執(zhí)行的是i * pi + (d * b - 199) / (1 - d * pi) - (int)(2 + 100 - i / pi) % 99 == i * pi + (d * b - 199) / (1 - d * pi) - (int)(2 + 100 - i / pi) % 99

由于AviatorScript執(zhí)行第4個(gè)表達(dá)式時(shí)報(bào)錯(cuò)，null的字面量是nil，實(shí)際執(zhí)行的是(clientVersion == '1.9.0' || clientVersion == '1.9.1' || clientVersion == '1.9.2') && deviceType == 'Xiaomi' && weight >= 4 && osVersion == 'Android 9.0' && osType == 'Android' && clientIp != nil && requestTime <= now&& customer.grade > 1 && customer.age > 18

結(jié)果分析：

第1個(gè)基本類(lèi)型包裝類(lèi)的算術(shù)計(jì)算 SpEl 最優(yōu)。其次是AviatorScript，MVEL，OGNL。而JEXL，JUEL，QlExpress則不如其他引擎。

第2個(gè)BigDecimal類(lèi)型的算術(shù)計(jì)算。由于底層實(shí)現(xiàn)不同，分為兩組。第1組 MVEL、AviatorScript和JEXL，AviatorScript 優(yōu)于 MVEL 優(yōu)于 JEXL。第2組 JUEL，QlExpress，OGNL和SpEl，性能由優(yōu)到差依次是 OGNL，SpEl，JUEL，QlExpress。并且第1組由于精度更高，性能明顯都差于第2組。

第3個(gè)含有基本類(lèi)型包裝類(lèi)算數(shù)計(jì)算的布爾表達(dá)式。SpEl 最優(yōu)，AviatorScript 次之，接下來(lái)依次是 OGNL, MVEL，JUEL，JEXL，QlExpress。

第4個(gè)含有字符串比較的布爾表達(dá)式。AviatorScript，MVEL，JEXL，OGNL 性能優(yōu)于 JUEL，QlExpress，SpEl。

3.3.3 含有方法調(diào)用的表達(dá)式

：new java.util.Date()

：s.substring(b.d)

：s.substring(b.d).substring(a, b.c.e)

說(shuō)明：

由于 JUEL 執(zhí)行new java.util.Date()時(shí)報(bào)錯(cuò)，不支持new實(shí)例，本輪實(shí)際執(zhí)行的是自定義函數(shù)fn:date()

由于 AviatorScript 執(zhí)行s.substring時(shí)報(bào)錯(cuò)，需使用其提供的內(nèi)部函數(shù)，本輪實(shí)際執(zhí)行的是其內(nèi)部函數(shù)string.substring

結(jié)果分析：

此輪測(cè)試中 SpEl 的表現(xiàn)最優(yōu)，甚至比Janino還要快。MVEL，AviatorScript次之，在執(zhí)行構(gòu)造方法時(shí)MVEL要好于AviatorScript。JEXL 表現(xiàn)也比較出色。QlExpress，JUEL，OGNL這三個(gè)表達(dá)式引擎則不如其他引擎。

3.3.4 總結(jié)

綜合以上測(cè)試結(jié)果，AviatorScript，SpEl，MVEL，OGNL性能表現(xiàn)相對(duì)較好。

AviatorScript 性能相對(duì)較好，表現(xiàn)均衡，但其語(yǔ)法相較其他引擎跟Java的差異略大。

SpEl 除了在個(gè)別場(chǎng)景下性能較差，大部分場(chǎng)景表現(xiàn)非常出色，尤其是在字面量和含有變量的算數(shù)計(jì)算及方法調(diào)用場(chǎng)景下。

MVEL 性能表現(xiàn)相對(duì)均衡，含有變量的算術(shù)計(jì)算略差于AviatorScript，其在字面量算術(shù)計(jì)算，方法調(diào)用場(chǎng)景下表現(xiàn)都非常出色。

OGNL 性能表現(xiàn)也相對(duì)均衡，但方法調(diào)用場(chǎng)景下表現(xiàn)不佳。

3.4 安全

引入表達(dá)式引擎，應(yīng)該重視系統(tǒng)的安全性和可靠性，比如要防止在不可信環(huán)境中被注入惡意腳本，越權(quán)執(zhí)行某些系統(tǒng)命令或使應(yīng)用停止服務(wù)等。安全性方面主要通過(guò)漏洞披露、安全指南和配置比較幾種表達(dá)式引擎。

3.4.1 漏洞

首先在https://cve.mitre.org/cve/search_cve_list.html通過(guò)關(guān)鍵字搜索的方式粗略了解一下不同表達(dá)式引擎被公開(kāi)的漏洞。這種方式可能不是非常的準(zhǔn)確，由于不同表達(dá)式引擎的使用場(chǎng)景、使用方式、關(guān)注度的不同可能導(dǎo)致被公開(kāi)的漏洞存在差異。比如我們所熟悉的 OGNL、SpEl 的關(guān)鍵字出現(xiàn)在漏洞中的頻率明顯高于其他表達(dá)式引擎。OGNL 在MyBatis和Struts中被使用，SpEl則在Spring中被廣泛使用，這兩個(gè)表達(dá)式引擎會(huì)被大部分項(xiàng)目間接使用，直接將用戶(hù)輸入作為表達(dá)式的一部分執(zhí)行，很容易導(dǎo)致出現(xiàn)漏洞。

我們可以從這些公布的漏洞中了解不同表達(dá)式引擎可能存在的安全隱患及其修復(fù)情況，在使用過(guò)程中盡可能避免出現(xiàn)類(lèi)似問(wèn)題。

此外，不推薦將表達(dá)式執(zhí)行直接開(kāi)放到不可信的環(huán)境，如果確實(shí)需要，應(yīng)該詳細(xì)了解選擇的表達(dá)式引擎，是否提供了必要的設(shè)置選項(xiàng)可以避免某些安全隱患。

3.4.2 安全設(shè)置

AviatorScript，QLExpress，JEXL均從不同程度提供了一些安全選項(xiàng)設(shè)置。

AviatorScript

設(shè)置白名單

// 在new語(yǔ)句和靜態(tài)方法調(diào)用中允許使用的類(lèi)白名單 默認(rèn) null 表示無(wú)限制
AviatorEvaluator.setOption(Options.ALLOWED_CLASS_SET, Sets.newHashSet(List.class));
// 在new語(yǔ)句和靜態(tài)方法調(diào)用中允許使用的類(lèi)白名單 包含子類(lèi) 默認(rèn) null 表示無(wú)限制
AviatorEvaluator.setOption(Options.ASSIGNABLE_ALLOWED_CLASS_SET, Sets.newHashSet(List.class));

防止死循環(huán)

// 循環(huán)最大次數(shù) 默認(rèn) 0 表示無(wú)限制
AviatorEvaluator.setOption(Options.MAX_LOOP_COUNT, 10000);

特性開(kāi)關(guān)

// 關(guān)閉某些特性
AviatorEvaluator.getInstance().disableFeature(Feature.Module);
AviatorEvaluator.getInstance().disableFeature(Feature.NewInstance);
// 只開(kāi)啟需要的特性
AviatorEvaluator.setOption(Options.FEATURE_SET, Feature.asSet(Feature.If));

QLExpress

開(kāi)啟沙箱模式

QLExpressRunStrategy.setSandBoxMode(true);

在沙箱模式中，不可以：

?import Java 類(lèi) ?顯式引用 Java 類(lèi)，比如String a = 'mmm' ?取 Java 類(lèi)中的字段：a = new Integer(11); a.value ?調(diào)用 Java 類(lèi)中的方法：Math.abs(12)

可以：

?使用 QLExpress 的自定義操作符/宏/函數(shù)，以此實(shí)現(xiàn)與應(yīng)用的受控交互

?使用. 操作符獲取 Map 的 key 對(duì)應(yīng)的 value，比如 a 在應(yīng)用傳入的表達(dá)式中是一個(gè) Map，那么可以通過(guò) a.b 獲取

?所有不涉及應(yīng)用 Java 類(lèi)的操作

設(shè)置白名單

// 設(shè)置編譯期白名單
QLExpressRunStrategy.setCompileWhiteCheckerList(Arrays.asList(
    // 精確設(shè)置
    CheckerFactory.must(Date.class),
    // 子類(lèi)設(shè)置
    CheckerFactory.assignable(List.class)
));
// 設(shè)置運(yùn)行時(shí)白名單// 必須將該選項(xiàng)設(shè)置為 true
QLExpressRunStrategy.setForbidInvokeSecurityRiskMethods(true);
// 有白名單設(shè)置時(shí), 則黑名單失效
QLExpressRunStrategy.addSecureMethod(RiskBean.class, "secureMethod");

設(shè)置黑名單

// 必須將該選項(xiàng)設(shè)置為 true
QLExpressRunStrategy.setForbidInvokeSecurityRiskMethods(true);
// 這里不區(qū)分靜態(tài)方法與成員方法, 寫(xiě)法一致
// 不支持重載, riskMethod 的所有重載方法都會(huì)被禁止
QLExpressRunStrategy.addSecurityRiskMethod(RiskBean.class, "riskMethod");

QLExpess 目前默認(rèn)添加的黑名單有：

?java.lang.System.exit

?java.lang.Runtime.exec

?java.lang.ProcessBuilder.start

?java.lang.reflect.Method.invoke

?java.lang.reflect.Class.forName

?java.lang.reflect.ClassLoader.loadClass

?java.lang.reflect.ClassLoader.findClass

防止死循環(huán)

//可通過(guò)timeoutMillis參數(shù)設(shè)置腳本的運(yùn)行超時(shí)時(shí)間:1000ms

Object r = runner.execute(express, context, null, true, false, 1000);

JEXL

使用沙箱

// 使用中應(yīng)該通過(guò)JexlSandbox的重載構(gòu)造方法進(jìn)行配置
new JexlBuilder().sandbox(new JexlSandbox()).create();

設(shè)置白名單權(quán)限

new JexlBuilder().permissions(JexlPermissions.RESTRICTED.compose("com.jd.*")).create();

特性開(kāi)關(guān)

// 關(guān)閉循環(huán)、new 實(shí)例，import等特性
new JexlBuilder().features(new JexlFeatures().loops(false).newInstance(false).importPragma(false)).create();

3.5 使用案例

從業(yè)界使用情況可以了解不同表達(dá)式引擎的可行性、生態(tài)和整合性，以及最佳實(shí)踐，進(jìn)而借鑒。從下表可以看到AviatorScript，MVEL，QLExpress在國(guó)內(nèi)業(yè)務(wù)線(xiàn)均有使用案例，有些企業(yè)也有文章輸出，我們可以借鑒使用。

3.6 語(yǔ)法

易于理解和使用的語(yǔ)法可以提高開(kāi)發(fā)效率，并降低學(xué)習(xí)成本。接下來(lái)從類(lèi)型、操作符、控制語(yǔ)句、集合、方法定義幾方面比較一下不同表達(dá)式引擎的語(yǔ)法設(shè)計(jì)。

類(lèi)型方面，AviatorScript 設(shè)計(jì)了特有的類(lèi)型，使用時(shí)需要注意其類(lèi)型轉(zhuǎn)換的優(yōu)先級(jí)long->bigint->decimal->double。AviatorScript、MVEL、OGNL、JEXL都支持BigInteger、BigDecimal字面量，這意味著進(jìn)行精確計(jì)算時(shí)可以使用字面量，將更方便，如10.24B就表示一個(gè)BigDecimal字面量（AviatorScript中BigDecimal字面量后綴是M）。此外AviatorScript、QLExpress還支持高精度計(jì)算的設(shè)置項(xiàng)。

操作符方面，QLExpress支持替換、自定義操作符及添加操作符別名，這可能有助于簡(jiǎn)化復(fù)雜表達(dá)式或使表達(dá)式更加直觀，不過(guò)添加預(yù)置函數(shù)應(yīng)該可以達(dá)到差不多的效果。AviatorScript也支持自定義部分操作符，不過(guò)支持?jǐn)?shù)量相當(dāng)有限。AviatorScript、SpEl、JEXL支持正則匹配操作符。

控制語(yǔ)句方面，除OGNL、SpEl、JUEL不支持控制語(yǔ)句外，其他都支持，不過(guò)需要注意 AviatorScript 的 else if 語(yǔ)法有些特殊寫(xiě)作 elsif，foreach語(yǔ)句跟Java也有所不同。

集合方面，除JUEL外其他都提供了快捷定義的方式，只不過(guò)語(yǔ)法不同。

函數(shù)定義方面，SpEl、JUEL均不支持，OGNL支持偽lambda定義，其他都支持定義函數(shù)。QLExpress不支持定義lambda。

綜合來(lái)看，和Java語(yǔ)法都或多或少存在一些差異。AviatorScript設(shè)計(jì)了自己特有的一些語(yǔ)法，使用的話(huà)需要熟悉一下。QLExpress支持自定義操作符，可以使表達(dá)式看起來(lái)更直觀。MVEL、JEXL的語(yǔ)法可能更接近Java，讓人更容易接受一些。OGNL、SpEl、JUEL的語(yǔ)法更簡(jiǎn)單一些，不支持控制語(yǔ)句和函數(shù)定義，當(dāng)然也可以通過(guò)預(yù)置一些函數(shù)變通解決一些較復(fù)雜的問(wèn)題。

四、選型建議

社區(qū)方面，SpEl無(wú)疑是最活躍的。AviatorScript，QLExpress，MVEL在國(guó)內(nèi)很受歡迎，QLExpress 有阿里背書(shū)。

代碼大小和依賴(lài)方面，AviatorScript，MVEL 依賴(lài)少，并且代碼大小也偏小。

性能方面，如果你使用表達(dá)式引擎執(zhí)行字面量算術(shù)計(jì)算或方法調(diào)用偏多可以選用SpEl，MVEL。如果希望整體性能表現(xiàn)較好可以選用 AviatorScript。

安全方面，如果想自定義安全選項(xiàng)，可以考慮 AviatorScript，QLExpress和JEXL。

使用案例方面，AviatorScript，MVEL，QLExpress在國(guó)內(nèi)都有實(shí)際使用案例可循。

語(yǔ)法方面，可能存在一些主觀因素，僅供參考，個(gè)人覺(jué)得MVEL、JEXL的語(yǔ)法設(shè)計(jì)使用起來(lái)會(huì)更容易一些。

通過(guò)對(duì)以上幾個(gè)方面的評(píng)估和分析，希望可以幫助團(tuán)隊(duì)基于自身情況及偏好選擇最適合自己項(xiàng)目的Java表達(dá)式引擎。

審核編輯：黃飛