http://blog.cnbang.net/tech/2808/

JSPatch實現原理詳解

注：本文較早撰寫，隨著 JSPatch 的改進，有些內容已與最新代碼對不上，建議轉看重新整理后的JSPatch實現原理詳解。

JSPatch以小巧的體積做到了讓JS調用/替換任意OC方法，讓iOS APP具備熱更新的能力，在實現 JSPatch 過程中遇到過很多困難也踩過很多坑，有些還是挺值得分享的。本篇文章從基礎原理、方法調用和方法替換三塊內容介紹整個 JSPatch 的實現原理，并把實現過程中的想法和碰到的坑也盡可能記錄下來。

基礎原理

能做到通過JS調用和改寫OC方法最根本的原因是 Objective-C 是動態語言，OC上所有方法的調用/類的生成都通過 Objective-C Runtime 在運行時進行，我們可以通過類名/方法名反射得到相應的類和方法：

1

2

3

4Classclass=NSClassFromString("UIViewController");

idviewController = [[classalloc] init];

SELselector =NSSelectorFromString("viewDidLoad");

[viewController performSelector:selector];

也可以替換某個類的方法為新的實現：

1

2staticvoidnewViewDidLoad(idslf,SELsel) {}

class_replaceMethod(class, selector, newViewDidLoad,@"");

還可以新注冊一個類，為類添加方法：

1

2

3Class cls = objc_allocateClassPair(superCls,"JPObject", 0);

objc_registerClassPair(cls);

class_addMethod(cls, selector, implement, typedesc);

對于 Objective-C 對象模型和動態消息發送的原理已有很多文章闡述得很詳細，例如這篇，這里就不詳細闡述了。理論上你可以在運行時通過類名/方法名調用到任何OC方法，替換任何類的實現以及新增任意類。所以 JSPatch 的原理就是：JS傳遞字符串給OC，OC通過 Runtime 接口調用和替換OC方法。這是最基礎的原理，實際實現過程還有很多怪要打，接下來看看具體是怎樣實現的。

方法調用

1

2

3

4require('UIView')

varview = UIView.alloc().init()

view.setBackgroundColor(require('UIColor').grayColor())

view.setAlpha(0.5)

引入JSPatch后，可以通過以上JS代碼創建了一個 UIView 實例，并設置背景顏色和透明度，涵蓋了require引入類，JS調用接口，消息傳遞，對象持有和轉換，參數轉換這五個方面，接下來逐一看看具體實現。

1.require

調用require(‘UIView’)后，就可以直接使用UIView這個變量去調用相應的類方法了，require 做的事很簡單，就是在JS全局作用域上創建一個同名變量，變量指向一個對象，對象屬性__isCls表明這是一個 Class，__clsName保存類名，在調用方法時會用到這兩個屬性。

1

2

3

4

5

6

7

8

9var_require =function(clsName) {

if(!global[clsName]) {

global[clsName] = {

__isCls: 1,

__clsName: clsName

}

}

returnglobal[clsName]

}

所以調用require(‘UIView’)后，就在全局作用域生成了 UIView 這個變量，指向一個這樣一個對象：

1

2

3

4{

__isCls: 1,

__clsName:"UIView"

}

2.JS接口

接下來看看UIView.alloc()是怎樣調用的。

舊實現

對于這個調用的實現，一開始我的想法是，根據JS特性，若要讓UIView.alloc()這句調用不出錯，唯一的方法就是給UIView這個對象添加alloc方法，不然是不可能調用成功的，JS對于調用沒定義的屬性/變量，只會馬上拋出異常，而不像OC/Lua/ruby那樣會有轉發機制。所以做了一個復雜的事，就是在require生成類對象時，把類名傳入OC，OC通過 Runtime 方法找出這個類所有的方法返回給JS，JS類對象為每個方法名都生成一個函數，函數內容就是拿著方法名去OC調用相應方法。生成的 UIView 對象大致是這樣的：

1

2

3

4

5

6

7

8{

__isCls: 1,

__clsName:"UIView",

alloc:function() {…},

beginAnimations_context:function() {…},

setAnimationsEnabled:function(){…},

...

}

實際上不僅要遍歷當前類的所有方法，還要循環找父類的方法直到頂層，整個繼承鏈上的所有方法都要加到JS對象上，一個類就有幾百個方法，這樣把方法全部加到JS對象上，碰到了挺嚴重的問題，引入幾個類就內存暴漲，無法使用。后來為了優化內存問題還在JS搞了繼承關系，不把繼承鏈上所有方法都添加到一個JS對象，避免像基類 NSObject 的幾百個方法反復添加在每個JS對象上，每個方法只存在一份，JS對象復制了OC對象的繼承關系，找方法時沿著繼承鏈往上找，結果內存消耗是小了一些，但還是大到難以接受。

新實現

當時繼續苦苦尋找解決方案，若按JS語法，這是唯一的方法，但若不按JS語法呢？突然腦洞開了下，CoffieScript/JSX都可以用JS實現一個解釋器實現自己的語法，我也可以通過類似的方式做到，再進一步想到其實我想要的效果很簡單，就是調用一個不存在方法時，能轉發到一個指定函數去執行，就能解決一切問題了，這其實可以用簡單的字符串替換，把JS腳本里的方法調用都替換掉。最后的解決方案是，在OC執行JS腳本前，通過正則把所有方法調用都改成調用__c()函數，再執行這個JS腳本，做到了類似OC/Lua/Ruby等的消息轉發機制：

1

2

3UIView.alloc().init()

->

UIView.__c('alloc')().__c('init')()

給JS對象基類 Object 的 prototype 加上__c成員，這樣所有對象都可以調用到__c，根據當前對象類型判斷進行不同操作：

1

2

3

4

5

6

7

8Object.prototype.__c =function(methodName) {

if(!this.__obj && !this.__clsName)returnthis[methodName].bind(this);

varself =this

returnfunction(){

varargs = Array.prototype.slice.call(arguments)

return_methodFunc(self.__obj, self.__clsName, methodName, args, self.__isSuper)

}

}

_methodFunc()就是把相關信息傳給OC，OC用 Runtime 接口調用相應方法，返回結果值，這個調用就結束了。

這樣做不用去OC遍歷對象方法，不用在JS對象保存這些方法，內存消耗直降99%，這一步是做這個項目最爽的時候，用一個非常簡單的方法解決了嚴重的問題，替換之前又復雜效果又差的實現。

3.消息傳遞

解決了JS接口問題，接下來看看JS和OC是怎樣互傳消息的。這里用到了 JavaScriptCore 的接口，OC端在啟動JSPatch引擎時會創建一個 JSContext 實例，JSContext 是JS代碼的執行環境，可以給 JSContext 添加方法，JS就可以直接調用這個方法：

1

2

3

4

5JSContext *context = [[JSContext alloc] init];

context[@"hello"] = ^(NSString*msg) {

NSLog(@"hello %@", msg);

};

[_context evaluateScript:@"hello('word')"];//output hello word

JS通過調用 JSContext 定義的方法把數據傳給OC，OC通過返回值傳會給JS。調用這種方法，它的參數/返回值 JavaScriptCore 都會自動轉換，OC里的 NSArray, NSDictionary, NSString, NSNumber, NSBlock 會分別轉為JS端的數組/對象/字符串/數字/函數類型。上述_methodFunc()方法就是這樣把要調用的類名和方法名傳遞給OC的。

4.對象持有/轉換

UIView.alloc()通過上述消息傳遞后會到OC執行[UIView alloc]，并返回一個UIView實例對象給JS，這個OC實例對象在JS是怎樣表示的呢？怎樣可以在JS拿到這個實例對象后可以直接調用它的實例方法(UIView.alloc().init())？

對于一個自定義id對象，JavaScriptCore 會把這個自定義對象的指針傳給JS，這個對象在JS無法使用，但在回傳給OC時OC可以找到這個對象。對于這個對象生命周期的管理，按我的理解如果JS有變量引用時，這個OC對象引用計數就加1 ，JS變量的引用釋放了就減1，如果OC上沒別的持有者，這個OC對象的生命周期就跟著JS走了，會在JS進行垃圾回收時釋放。

傳回給JS的變量是這個OC對象的指針，如果不經過任何處理，是無法通過這個變量去調用實例方法的。所以在返回對象時，JSPatch 會對這個對象進行封裝。

首先，告訴JS這是一個OC對象：

1

2

3

4

5staticNSDictionary*toJSObj(idobj)

{

if(!obj)returnnil;

return@{@"__isObj": @(YES),@"cls":NSStringFromClass([objclass]),@"obj": obj};

}

用__isObj表示這是一個OC對象，對象指針也一起返回。接著在JS端會把這個對象轉為一個 JSClass 實例：

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16varJSClass

var_getJSClass =function(className) {

if(!JSClass) {

JSClass =function(obj, className, isSuper) {

this.__obj = obj

this.__isSuper = isSuper

this.__clsName = className

}

}

returnJSClass

}

var_toJSObj =function(meta) {

varJSClass = _getJSClass()

returnnewJSClass(meta["obj"], meta["cls"])

}

JS端如果發現返回是一個OC對象，會傳入_toJSObj()，生成一個JSClass實例，這個實例保存著OC對象指針，類名等。這個實例就是OC對象在 JSPatch 對應的JS對象，生命周期是一樣的。

回到我們第二點說的 JS接口， 這個 JSClass 實例對象同樣有__c函數，調用這個對象的方法時，同樣走到__c函數，__c函數會把JSClass實例對象里的OC對象指針以及要調用的方法名和參數回傳給OC，這樣OC就可以調用這個對象的實例方法了。

接著看看對象是怎樣回傳給OC的。上述例子中，view.setBackgroundColor(require(‘UIColor’).grayColor())，這里生成了一個 UIColor 實例對象，并作為參數回傳給OC。根據上面說的，這個 UIColor 實例在JS中的表示是一個 JSClass 實例，所以不能直接回傳給OC，這里的參數實際上會在__c函數進行處理，會把對象的.__obj原指針回傳給OC。

最后一點，OC對象可能會存在于 NSDictionary / NSArray 等容器里，所以需要遍歷容器挑出OC對象進行格式化，OC需要把對象都替換成JS認得的格式，JS要把對象轉成 JSClass 實例，JS實例回傳給OC時需要把實例轉為OC對象指針。所以OC流出數據時都會經過formatOCObj()方法處理，JS從OC得到數據時都會經過_formatOCToJS()處理，JS傳參數給OC時會經過_formatJSToOC()處理，圖示：

5.類型轉換

JS把要調用的類名/方法名/對象傳給OC后，OC調用類/對象相應的方法是通過 NSInvocation 實現，要能順利調用到方法并取得返回值，要做兩件事：

1.取得要調用的OC方法各參數類型，把JS傳來的對象轉為要求的類型進行調用。

2.根據返回值類型取出返回值，包裝為對象傳回給JS。

例如開頭例子的view.setAlpha(0.5)， JS傳遞給OC的是一個 NSNumber，OC需要通過要調用OC方法的NSMethodSignature得知這里參數要的是一個 float 類型值，于是把NSNumber轉為float值再作為參數進行OC方法調用。這里主要處理了 int/float/bool 等數值類型，并對 CGRect/CGRange 等類型進行了特殊轉換處理，剩下的就是實現細節了。

方法替換

JSPatch 可以用defineClass接口任意替換一個類的方法，方法替換的實現過程也是頗為曲折，一開始是用 va_list 的方式獲取參數，結果發現 arm64 下不可用，只能轉而用另一種hack方式繞道實現。另外在給類新增方法、實現property、支持self/super關鍵字上也費了些功夫，下面逐個說明。

基礎原理

OC上，每個類都是這樣一個結構體：

1

2

3

4

5

6structobjc_class {

structobjc_class * isa;

constchar*name;

….

structobjc_method_list **methodLists;/*方法鏈表*/

};

其中 methodList 方法鏈表里存儲的是Method類型：

1

2

3

4

5

6typedefstructobjc_method *Method;

typedefstructobjc_ method {

SELmethod_name;

char*method_types;

IMP method_imp;

};

Method 保存了一個方法的全部信息，包括SEL方法名，type各參數和返回值類型，IMP該方法具體實現的函數指針。

通過 Selector 調用方法時，會從 methodList 鏈表里找到對應Method進行調用，這個 methodList 上的的元素是可以動態替換的，可以把某個 Selector 對應的函數指針IMP替換成新的，也可以拿到已有的某個 Selector 對應的函數指針IMP，讓另一個 Selector 跟它對應，Runtime 提供了一些接口做這些事，以替換 UIViewController 的-viewDidLoad:方法為例：

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

19

20staticvoidviewDidLoadIMP (idslf,SELsel) {

JSValue *jsFunction = …;

[jsFunction callWithArguments:nil];

}

Class cls =NSClassFromString(@"UIViewController");

SELselector =@selector(viewDidLoad);

Method method = class_getInstanceMethod(cls, selector);

//獲得viewDidLoad方法的函數指針

IMP imp = method_getImplementation(method)

//獲得viewDidLoad方法的參數類型

char*typeDescription = (char*)method_getTypeEncoding(method);

//新增一個ORIGViewDidLoad方法，指向原來的viewDidLoad實現

class_addMethod(cls,@selector(ORIGViewDidLoad), imp, typeDescription);

//把viewDidLoad IMP指向自定義新的實現

class_replaceMethod(cls, selector, viewDidLoadIMP, typeDescription);

這樣就把 UIViewController 的-viewDidLoad方法給替換成我們自定義的方法，APP里調用 UIViewController 的viewDidLoad方法都會去到上述viewDidLoadIMP函數里，在這個新的IMP函數里調用JS傳進來的方法，就實現了替換-viewDidLoad方法為JS代碼里的實現，同時為 UIViewController 新增了個方法-ORIGViewDidLoad指向原來 viewDidLoad 的IMP，JS可以通過這個方法調用到原來的實現。

方法替換就這樣很簡單的實現了，但這么簡單的前提是，這個方法沒有參數。如果這個方法有參數，怎樣把參數值傳給我們新的IMP函數呢？例如 UIViewController 的-viewDidAppear:方法，調用者會傳一個Bool值，我們需要在自己實現的IMP（上述的viewDidLoadIMP）上拿到這個值，怎樣能拿到？如果只是針對一個方法寫IMP，是可以直接拿到這個參數值的：

1

2

3staticvoidviewDidAppear (idslf,SELsel,BOOLanimated) {

[function callWithArguments:@(animated)];

}

但我們要的是實現一個通用的IMP，任意方法任意參數都可以通過這個IMP中轉，拿到方法的所有參數回調JS的實現。

va_list實現(32位)

最初我是用可變參數va_list實現：

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31staticvoidcommonIMP(idslf, ...)

va_list args;

va_start(args, slf);

NSMutableArray*list = [[NSMutableArrayalloc] init];

NSMethodSignature*methodSignature = [cls instanceMethodSignatureForSelector:selector];

NSUIntegernumberOfArguments = methodSignature.numberOfArguments;

idobj;

for(NSUIntegeri = 2; i < numberOfArguments; i++) {

constchar*argumentType = [methodSignature getArgumentTypeAtIndex:i];

switch(argumentType[0]) {

case'i':

obj = @(va_arg(args,int));

break;

case'B':

obj = @(va_arg(args,BOOL));

break;

case'f':

case'd':

obj = @(va_arg(args,double));

break;

……//其他數值類型

default: {

obj = va_arg(args,id);

break;

}

}

[list addObject:obj];

}

va_end(args);

[function callWithArguments:list];

}

這樣無論方法參數是什么，有多少個，都可以通過va_list的一組方法一個個取出來，組成NSArray在調用JS方法時傳回。很完美地解決了參數的問題，一直運行正常，直到我跑在arm64的機子上測試，一調用就crash。查了資料，才發現arm64下va_list的結構改變了，導致無法上述這樣取參數。詳見這篇文章。

ForwardInvocation實現(64位)

后來找到另一種非常hack的方法解決參數獲取的問題，利用了OC消息轉發機制。

當調用一個 NSObject 對象不存在的方法時，并不會馬上拋出異常，而是會經過多層轉發，層層調用對象的-resolveInstanceMethod:,-forwardingTargetForSelector:,-methodSignatureForSelector:,-forwardInvocation:等方法，這篇文章說得比較清楚，其中最后-forwardInvocation:是會有一個 NSInvocation 對象，這個 NSInvocation 對象保存了這個方法調用的所有信息，包括 Selector 名，參數和返回值類型，最重要的是有所有參數值，可以從這個 NSInvocation 對象里拿到調用的所有參數值。我們可以想辦法讓每個需要被JS替換的方法調用最后都調到-forwardInvocation:，就可以解決無法拿到參數值的問題了。

具體實現，以替換 UIViewController 的-viewWillAppear:方法為例：

把UIViewController的-viewWillAppear:方法通過class_replaceMethod()接口指向一個不存在的IMP:class_getMethodImplementation(cls, @selector(__JPNONImplementSelector))，這樣調用這個方法時就會走到-forwardInvocation:。

為 UIViewController 添加-ORIGviewWillAppear:和-_JPviewWillAppear:兩個方法，前者指向原來的IMP實現，后者是新的實現，稍后會在這個實現里回調JS函數。

改寫 UIViewController 的-forwardInvocation:方法為自定義實現。一旦OC里調用 UIViewController 的-viewWillAppear:方法，經過上面的處理會把這個調用轉發到-forwardInvocation:，這時已經組裝好了一個 NSInvocation，包含了這個調用的參數。在這里把參數從 NSInvocation 反解出來，帶著參數調用上述新增加的方法-JPviewWillAppear:，在這個新方法里取到參數傳給JS，調用JS的實現函數。整個調用過程就結束了，整個過程圖示如下：

最后一個問題，我們把 UIViewController 的-forwardInvocation:方法的實現給替換掉了，如果程序里真有用到這個方法對消息進行轉發，原來的邏輯怎么辦？首先我們在替換-forwardInvocation:方法前會新建一個方法-ORIGforwardInvocation:，保存原來的實現IMP，在新的-forwardInvocation:實現里做了個判斷，如果轉發的方法是我們想改寫的，就走我們的邏輯，若不是，就調-ORIGforwardInvocation:走原來的流程。

實現過程中還碰到一個坑，就是從-forwardInvocation:里的 NSInvocation 對象取參數值時，若參數值是id類型，我們會這樣取:

1

2idarg;

[invocation getArgument:&arg atIndex:i];

但這樣取某些時候會導致莫名其妙的crash，而且不是crash在這個地方，似乎這里的指針取錯導致后續的內存錯亂，crash在各種地方，這個bug查了我半天才定位到這里，至今不知為什么。后來以這樣的方式解決了：

1

2

3void*arg;

[invocation getArgument:&arg atIndex:i];

ida = (__bridgeid)arg;

其他就是實現上的細節了，例如需要根據不同的返回值類型生成不同的IMP，要在各處處理參數轉換等。

新增方法

在 JSPatch 剛開源時，是不支持為一個類新增方法的，因為覺得能替換原生方法就夠了，新的方法純粹添加在JS對象上，只在JS端跑就行了。另外OC為類新增方法需要知道各個參數和返回值的類型，需要在JS定一種方式把這些類型傳給OC才能完成新增方法，比較麻煩。后來挺多人比較關注這個問題，不能新增方法導致 action-target 模式無法用，我也開始想有沒有更好的方法實現添加方法。一開始想到，反正新增的方法都是JS在用，不如新增的方法返回值和參數全統一成id類型，這樣就不用傳類型了，但還是需要知道參數個數，后來跟Lancy聊天時找到了解決方案，JS可以獲得函數參數個數，直接封裝一下把參數個數一并傳給OC就行了。

現在defineClass定義的方法會經過JS包裝，變成一個包含參數個數和方法實體的數組傳給OC，OC會判斷如果方法已存在，就執行替換的操作，若不存在，就調用class_addMethod()新增一個方法，通過傳過來的參數個數和方法實體生成新的 Method，把 Method 的參數和返回值類型都設為id。

這里有個問題，若某個類實現了某protocol，protocol方法里有可選的方法，它的參數不全是id類型，例如UITableViewDataSource的一個方法：

1

- (NSInteger)tableView:(UITableView *)tableView sectionForSectionIndexTitle:(NSString*)title atIndex:(NSInteger)index;

若原類沒有實現這個方法，在JS里實現了，會走到新增方法的邏輯，每個參數類型都變成id，與這個 protocol 方法不匹配，產生錯誤。后續會處理 protocol 的問題，若新增的方法是 protocol 實現的方法，會取這個方法的NSMethodSignature獲得正確的參數類型進行添加。

Property實現

1

2

3

4

5

6

7

8

9defineClass('JPTableViewController : UITableViewController', {

dataSource:function() {

vardata = self.getProp('data')

if(data)returndata;

data = [1,2,3]

self.setProp_forKey(data,'data')

returndata;

}

}

JSPatch 可以通過-getProp:，-setProp:forKey:這兩個方法給對象添加成員變量。實現上用了運行時關聯接口objc_getAssociatedObject()和objc_setAssociatedObject()模擬，相當于把一個對象跟當前對象 self 關聯起來，以后可以通過當前對象 self 找到這個對象，跟成員的效果一樣，只是一定得是id對象類型。

本來OC有class_addIvar()可以為類添加成員，但必須在類注冊之前添加完，注冊完成后無法添加，這意味著可以為在JS新增的類添加成員，但不能為OC上已存在的類添加，所以只能用上述方法模擬。

self關鍵字

1

2

3

4

5

6defineClass("JPViewController: UIViewController", {

viewDidLoad:function() {

varview = self.view()

...

},

}

JSPatch支持直接在defineClass里的實例方法里直接使用 self 關鍵字，跟OC一樣 self 是指當前對象，這個 self 關鍵字是怎樣實現的呢？實際上這個self是個全局變量，在 defineClass 里對實例方法 方法進行了包裝，在調用實例方法之前，會把全局變量 self 設為當前對象，調用完后設回空，就可以在執行實例方法的過程中使用 self 變量了。這是一個小小的trick。

super關鍵字

1

2

3

4

5defineClass("JPViewController: UIViewController", {

viewDidLoad:function() {

self.super.viewDidLoad()

},

}

OC里 super 是一個關鍵字，無法通過動態方法拿到 super，那么 JSPatch 的super是怎么實現的？實際上調用 super 的方法，OC做的事是調用父類的某個方法，并把當前對象當成 self 傳入父類方法，我們只要模擬它這個過程就行了。

首先JS端需要告訴OC想調用的是當前對象的 super 方法，做法是調用self.super時，會返回一個新的JSClass實例，這個實例同樣保存了OC對象的引用，同時標識__isSuper=1。

01

02

03

04

05

06

07

08

09

10

11JSClass =function(obj, className, isSuper) {

this.__obj = obj

this.__isSuper = isSuper

this.__clsName = className

}

JSClass.prototype.__defineGetter__('super',function(){

if(!this.__super) {

this.__super =newJSClass(this.__obj,this.__clsName, 1)

}

returnthis.__super

})

調用方法時，__isSuper會傳給OC，告訴OC要調 super 的方法。OC做的事情是，如果是調用 super 方法，找到 superClass 這個方法的IMP實現，為當前類新增一個方法指向 super 的IMP實現，那么調用這個類的新方法就相當于調用 super 方法。把要調用的方法替換成這個新方法，就完成 super 方法的調用了。

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15staticidcallSelector(NSString*className,NSString*selectorName,NSArray*arguments,idinstance,BOOLisSuper) {

...

if(isSuper) {

NSString*superSelectorName = [NSStringstringWithFormat:@"SUPER_%@", selectorName];

SELsuperSelector =NSSelectorFromString(superSelectorName);

Class superCls = [cls superclass];

Method superMethod = class_getInstanceMethod(superCls, selector);

IMP superIMP = method_getImplementation(superMethod);

class_addMethod(cls, superSelector, superIMP, method_getTypeEncoding(superMethod));

selector = superSelector;

}

...

}

總結

整個 JSPatch 實現原理就大致描述完了，剩下的一些小點，例如GCD接口，block實現，方法名下劃線處理等就不細說了，可以直接看代碼。JSPatch 還在持續改進中，希望能成為iOS平臺動態更新的最佳解決方案，歡迎大家一起建設這個項目，github地址：https://github.com/bang590/JSPatch

——————