FabricMC项目中Maven仓库SHA1校验失败问题解析

问题背景

在FabricMC生态系统中，开发者使用Bazel构建工具时遇到了一个特殊问题：当从Fabric的Maven仓库下载依赖包时，出现了SHA1校验和(checksum)不匹配的错误。这个问题特别出现在Fabric API的某些版本中，导致构建过程失败。

问题现象

具体表现为，当Bazel尝试从Fabric的Maven仓库下载如fabric-loot-api-v2等组件时，系统报告的SHA1校验和与文件实际的校验和不一致。例如：

• 预期SHA1: 11be9e015c8e28dbfab7f5622c553e88d2102a2a
• 实际SHA1: 54f99ac79ad60e5422680f3a1dfd265722938adb

更奇怪的是，开发者发现通过不同方式访问同一URL（仅URL编码方式不同）会下载到内容不同的文件。

根本原因

经过分析，问题根源在于Fabric的发布流程：

1. JAR文件重新签名：当Fabric发布新版本时，系统会对之前版本的JAR文件重新进行签名
2. 签名不可重现性：数字签名过程本身具有不可重现性，每次签名都会产生不同的结果
3. Maven仓库覆盖：新签名版本会覆盖Maven仓库中原有的文件，但校验和文件可能未同步更新

这种机制在Gradle等构建工具中不会造成问题，因为它们直接使用Maven提供的哈希值。但对于Bazel这样严格校验下载内容的工具，就会导致构建失败。

解决方案

Fabric团队已经通过以下方式解决了该问题：

1. 发布流程优化：在1.21.5及以上版本中，修改了发布流程，不再对已有文件进行重新签名和覆盖
2. 循环依赖修复：解决了Fabric API中存在的循环依赖问题，确保构建工具能够正确处理依赖关系

对于使用旧版本Fabric API的开发者，可以采取以下临时解决方案：

1. 手动排除有问题的依赖项（如fabric-api-deprecated）
2. 升级到已修复问题的Fabric API版本

技术启示

这个问题给开发者带来几个重要启示：

1. 构建工具差异：不同构建工具对依赖管理的严格程度不同，迁移时需注意兼容性问题
2. 发布流程影响：Maven仓库的发布策略会直接影响下游开发者的构建体验
3. 版本选择：在可能的情况下，尽量使用最新稳定版本以避免已知问题

Fabric团队对构建工具生态的支持态度积极，开发者遇到类似问题时可以及时反馈，团队会快速响应并解决问题。