FlatLaf项目在macOS上的原生库签名问题解析

背景介绍

FlatLaf是一款流行的Java Swing外观实现库，在3.3版本后开始包含原生库以提供更好的平台集成体验。然而，这些原生库在macOS平台上引发了应用签名和公证(Notarization)问题，导致开发者无法顺利完成应用发布流程。

问题本质

macOS应用公证要求所有可执行文件都必须使用有效的开发者ID证书签名。FlatLaf 3.3中包含的macOS原生动态库(.dylib)虽然已经由FormDev公司使用代码签名证书进行了签名，但使用的是普通代码签名证书而非苹果要求的开发者ID证书，因此无法通过公证流程。

解决方案分析

临时解决方案

1. 回退版本：暂时回退到FlatLaf 3.2.5版本可以规避此问题，但会失去新版功能。

2. 手动重新签名：

   • 解压flatlaf.jar文件
   • 使用开发者ID证书对libflatlaf-macos-x86_64.dylib和libflatlaf-macos-arm64.dylib进行签名
   • 重新打包jar文件
   • 此方法可以保留所有功能，但增加了构建复杂度

官方推荐方案

FlatLaf 3.4版本引入了新的构建选项：

1. 使用无原生库版本：

   • 通过Maven或Gradle引入flatlaf--no-natives.jar
   • 此版本不包含任何原生库，完全避免签名问题
   • 但会失去部分平台特定功能(如圆角弹窗、原生窗口装饰等)

2. 单独引入并签名原生库：

   implementation("com.formdev:flatlaf:3.4-SNAPSHOT:no-natives")
   implementation("com.formdev:flatlaf:3.4-SNAPSHOT:macos-arm64@dylib")
   implementation("com.formdev:flatlaf:3.4-SNAPSHOT:macos-x86_64@dylib")
   

   • 单独引入平台特定原生库
   • 在构建过程中对这些库进行签名
   • 既解决了公证问题，又保留了完整功能

技术细节

macOS公证流程会递归检查应用包中的所有可执行文件，包括：

• 主可执行文件
• 动态链接库(.dylib)
• Java应用的JNI库
• 框架(Frameworks)中的可执行文件

FlatLaf的原生库属于JNI库范畴，必须满足：

1. 使用有效的开发者ID证书签名
2. 启用硬化运行时(Hardened Runtime)
3. 包含适当的权利(Entitlements)

最佳实践建议

1. 对于新项目，建议直接使用FlatLaf 3.4+版本
2. 根据功能需求选择是否包含原生库：
   • 如果不需要平台特定UI增强，使用no-natives版本最简便
   • 如果需要完整功能，采用单独引入并签名原生库的方案
3. 在CI/CD流程中集成签名步骤，确保自动化构建

未来展望

虽然目前FlatLaf团队尚未提供预签名的开发者ID原生库，但随着项目发展，未来可能会提供官方签名版本，进一步简化开发者的发布流程。在此之前，开发者需要根据自身需求选择合适的解决方案。