Java开发简易规则引擎：AviatorScript表达式求值与配置

本文深入剖析了在Java开发中基于AviatorScript构建安全、高效、可维护的简易规则引擎的关键实践：从启用沙箱模式、禁用反射函数、预编译表达式以杜绝远程代码执行风险，到将规则封装为带缓存与变量分析能力的Rule对象提升性能，再到规避in操作符语法陷阱（统一使用array()构造列表）、解决Spring Boot环境下通过@RefreshScope实现规则热加载而非粗暴重启引擎等核心难点，全面覆盖了生产级规则引擎落地中最易踩坑的细节与最佳方案。

AviatorScript 表达式怎么安全求值？别直接 Expression.execute()

AviatorScript 默认不校验表达式合法性，传入恶意字符串（比如 "System.exit(0)" 或反射调用）会直接执行任意 Java 代码。这不是 bug，是设计使然——它默认信任输入源。

必须显式关闭危险函数、限制类加载、启用沙箱模式：

• 初始化时调用 AviatorEvaluator.setFunctionMissingHandler() 拦截未注册函数
• 用 AviatorEvaluator.newInstance().setOption(Options.SANDBOX, true) 启用沙箱（JDK 8+ 有效）
• 禁用反射相关内置函数：AviatorEvaluator.removeFunction("class")、removeFunction("new")、removeFunction("getDeclaredMethod")
• 表达式求值前先用 AviatorEvaluator.compile() 预编译，捕获 CompileExpressionErrorException —— 这比运行时报错更早暴露语法问题

规则配置怎么从字符串变成可复用的 Java 对象？

不能每次请求都 AviatorEvaluator.execute("x > 100 && y in [\"A\",\"B\"]", env)，性能差且无法缓存。核心是把表达式“编译后存起来”。

典型做法是封装一个 Rule 类，包含：expression（原始字符串）、compiled（Expression 实例）、requiredKeys（自动提取的变量名列表，用 AviatorEvaluator.getVariableNames()）：

String expr = "amount > threshold && status == 'ACTIVE'";
Expression compiled = AviatorEvaluator.compile(expr, true); // true 表示缓存
Map<String, Object> env = new HashMap<>();
env.put("amount", 120L);
env.put("threshold", 100L);
env.put("status", "ACTIVE");
Object result = compiled.execute(env); // 返回 Boolean

注意：compile() 的缓存是全局静态的，多线程安全；但如果你动态修改了内置函数或选项，需确保编译前后环境一致。

为什么规则里用 in 报错？Aviator 的集合字面量有坑

常见错误现象："userType in ['VIP', 'PREMIUM']" 在 Aviator 4.x+ 会抛 ParseException，因为方括号 [] 不是原生支持的数组字面量语法。

Aviator 只认 ["VIP", "PREMIUM"] 是合法 list 字面量（4.3.0+），但低版本（如 4.1.x）只支持 array("VIP", "PREMIUM") 函数构造：

• 推荐统一用函数式写法：userType in array("VIP", "PREMIUM")
• 避免用 [...]，除非确认所有环境都是 Aviator ≥ 4.3.0
• in 右侧必须是 List 或 Set，不能是普通数组（String[]）——传入前要转成 Arrays.asList(...)
• 如果规则来自前端 JSON 配置，注意 JSON 解析后字符串引号是双引号，而 Aviator 字符串字面量要求单引号：'VIP'，否则解析失败

Spring Boot 里怎么热加载规则？别 reload 整个 AviatorEvaluator

Aviator 本身无热加载机制，强行 reload AviatorEvaluator 静态实例会导致已编译表达式失效、并发问题。正确做法是让规则对象自己管理生命周期。

建议结合 Spring 的 @RefreshScope 和监听配置变更事件：

• 把规则定义为 @ConfigurationProperties 类，绑定到 YAML/Config Server
• 每个规则对应一个 @Bean，标注 @RefreshScope，并在 @PostConstruct 中预编译 Expression
• 监听 EnvironmentChangeEvent 或 RefreshEvent，触发规则重新加载（不是重启 evaluator）
• 关键点：旧的 Expression 实例会被 GC，新实例由 Spring 管理，业务代码通过 @Autowired 注入规则 Bean，天然获得最新版

真正容易被忽略的是变量作用域隔离——不同规则可能用同名变量（如 now），但含义不同。不要依赖全局 AviatorEvaluator.addFunction() 注册通用函数，应按规则粒度传入 env，或封装专用 Function 实现做上下文感知。

以上就是《Java开发简易规则引擎：AviatorScript表达式求值与配置》的详细内容，更多关于的资料请关注golang学习网公众号！